Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 235
Очень неприятно, что Майкрософт держит людей за идиотов. Ладно, допустим, UAC нужен в некоторых условиях. Но опытный пользователь должен иметь возможность делать со своим компьютером что угодно — в частности, эту защиту отключить. Когда перешёл с WIn7 на Win8, заметил, что UAC работает на полную, будучи даже выключенным в настройках.
Половина программ работает криво, не может даже обновиться без запуска от имени администратора (хотя мой аккаунт один и я сам себе админ), в Program Files писать не даёт. Пришлось лезть в Computer Management и отключать кучу служб. Без UAC приложения из стора не работают, впрочем и не больно нужно :)
Половина программ работает криво, не может даже обновиться без запуска от имени администратора (хотя мой аккаунт один и я сам себе админ), в Program Files писать не даёт. Пришлось лезть в Computer Management и отключать кучу служб. Без UAC приложения из стора не работают, впрочем и не больно нужно :)
Я вообще не понимаю чем мешает UAC обычному пользователю. Меня больше раздражает, когда пишут софт, который почему-то без элевэйшна работать не может. Какая-нибудь мелкая софтина не делающая ничего особенного и на тебе, требует админа.
UAC мешает только в случае кривого или очень старого софта, но это как бы естественно. Простому пользователю ни кривым, ни слишком старым софтом пользоваться не стоит. А в остальных случаях разбирающийся человек проблему решит.
Самая частая проблема с правами в Program Files для старого софта решается элементарно — установкой специфических прав на нужную подпапку.
UAC мешает только в случае кривого или очень старого софта, но это как бы естественно. Простому пользователю ни кривым, ни слишком старым софтом пользоваться не стоит. А в остальных случаях разбирающийся человек проблему решит.
Самая частая проблема с правами в Program Files для старого софта решается элементарно — установкой специфических прав на нужную подпапку.
На самом деле программе не обязательно быть старой. Например, торрент-клиент Vuze обновляется постоянно и страдает.
Выставлять права под каждую ситуацию — зачем? Проще выключить всё разом. Есть антивирус, который блокирует любые вредоносные поползновения на корню.
Можете назвать это устаревшим подходом, но мне нравится, когда я могу делать с любым файлом любые действия, а не продираться через миллиард ограничений. Взять тот же Internet Explorer — там чтобы инсталлер хрома скачать, раз пять надо подтвердить очевидное. Для кого это всё? Это же противоестественно
Выставлять права под каждую ситуацию — зачем? Проще выключить всё разом. Есть антивирус, который блокирует любые вредоносные поползновения на корню.
Можете назвать это устаревшим подходом, но мне нравится, когда я могу делать с любым файлом любые действия, а не продираться через миллиард ограничений. Взять тот же Internet Explorer — там чтобы инсталлер хрома скачать, раз пять надо подтвердить очевидное. Для кого это всё? Это же противоестественно
«Например, торрент-клиент Vuze обновляется постоянно и страдает»
Я упоминал не только старый, но и кривой софт. Хром тоже часто обновляется, но я не вижу от него ни одного UAC сообщения.
Я упоминал не только старый, но и кривой софт. Хром тоже часто обновляется, но я не вижу от него ни одного UAC сообщения.
Спасибо, не надо мне на каждую софтину по сервису в системе. Очень плохой пример.
Вам эти сервисы глаза мозолят, или предрасудки и пережитки прошлой эпохи о себе знать дают?
Если для вас хром — плохой пример, зачем вы обновили свою ХР до виндовс7? Там лужайка зеленее.
Если для вас хром — плохой пример, зачем вы обновили свою ХР до виндовс7? Там лужайка зеленее.
Ну кстати сервисы придумывались совсем не для того, чтобы каждый в виде сервиса вывешивал свою уникальную автоапдейтилку. Очень жаль, что Microsoft такое даже через сертификацию пропускает. В винде есть прекрасный шедулер джобов, куча софта им уже пользуется. Но ещё больше остается всяких умных Нвидий, Гуглов, Фаерфоксов и проч. которые продолжают лепить сервисы.
Это уже другой вопрос, как реализовано. Вопрос к производителю софта. Главный вопрос — в винде есть валидный способ обновлять продукты, и не один. А по поводу хрома, сервис там ему нужен вовсе не для апдейтов. Там есть возможность оставлять в бэкграунде запущенные плагины, там есть свой диспетчер задач, и так далее.
А зачем торрентокачалке такие частые апдейты в принципе? У нее каждый день по критическому багу находят который до выхода, скажем, ежемесячного апдейта не подождет? Если так, то см. пункт про кривой софт. А если это дев/найтли ветка, то это выбор пользователя.
Возможно пример не идеальный, но я скорее к тому, что можно было и ровнее написать. Часто права администратора не нужны.
Претензия по поводу сервиса не очень понятна. Софт которой тоже находится в системе и засоряет реестр это нормально, а сервис уже плохо. Хотя в памяти он не сидит и кушать не просит.
screenshots.ryotsuke.ru/scr_84156bc0b6dc.png
Сервис — абсолютное нормальное решение для софта, критичного к актуальности собственной версии
Возможно пример не идеальный, но я скорее к тому, что можно было и ровнее написать. Часто права администратора не нужны.
Претензия по поводу сервиса не очень понятна. Софт которой тоже находится в системе и засоряет реестр это нормально, а сервис уже плохо. Хотя в памяти он не сидит и кушать не просит.
screenshots.ryotsuke.ru/scr_84156bc0b6dc.png
Сервис — абсолютное нормальное решение для софта, критичного к актуальности собственной версии
Причем здесь сервисы?
>>Хром тоже часто обновляется, но я не вижу от него ни одного UAC сообщения.
Если речь идет про Windows 8 то там UAC основан в большей степени на механизме репутации.
Например неизвестное приложение не запустится вовсе, и чтобы запустить его необходимо открыть доп меню.
В частности Google Chrome подписан действительным сертификатом выданным сертификационным центром VeriSign,(возможно я в чем то ошибаюсь и более опытные хабрапользователи меня поправят) корневые сертификаты которого имеются в windows и отмечены как доверенные. Таким образом Google Chrome запускается как доверенное приложение и соответственно в случае необходимости может элевировать привилегии до необходимого уровня. Примером такой необходимости в Windows 8 является установка браузером по умолчанию.
В защиту можно сказать лишь то что лишенный сертификата SrWare Iron основанный на Chromium и имеющий практически аналогичный Google Chromeу код (кроме некоторых проприетарных особенностей вроде слежения за пользователем), ведет себя так же как и Chrome и не требует привилегий кроме вышеописанного случая.
Если речь идет про Windows 8 то там UAC основан в большей степени на механизме репутации.
Например неизвестное приложение не запустится вовсе, и чтобы запустить его необходимо открыть доп меню.
В частности Google Chrome подписан действительным сертификатом выданным сертификационным центром VeriSign,(возможно я в чем то ошибаюсь и более опытные хабрапользователи меня поправят) корневые сертификаты которого имеются в windows и отмечены как доверенные. Таким образом Google Chrome запускается как доверенное приложение и соответственно в случае необходимости может элевировать привилегии до необходимого уровня. Примером такой необходимости в Windows 8 является установка браузером по умолчанию.
В защиту можно сказать лишь то что лишенный сертификата SrWare Iron основанный на Chromium и имеющий практически аналогичный Google Chromeу код (кроме некоторых проприетарных особенностей вроде слежения за пользователем), ведет себя так же как и Chrome и не требует привилегий кроме вышеописанного случая.
А мне казалось, что гугл не требует привилегий потому, что по-умолчанию ставится в папку пользователя.
А вот «обычный» установщик потребует прав администратора:
Установка Google Chrome для нескольких аккаунтов
А вот «обычный» установщик потребует прав администратора:
Установка Google Chrome для нескольких аккаунтов
У меня почему-то скайп без прав админа не запускается.
UAC настроен по дефолту.
UAC настроен по дефолту.
Вот из-за таких выключающих UAC и получается «Винда — решето». Еще и другим советуете, наверное?
«Винда — решето» совершенно по другим причинам.
В первую очередь потому, что базовый набор чрезвычайно беден. Сравните с набором софта от фруктовой компании. Или с репозиториями линукса. Или с гугель-плеем. В типичном случае у вас на компе не появится софта из невирифицируемых источников, потреблять контент можно из коробки.
А у микрософт — ну вы поняли, перво-наперво надо поставить браузер ;-) Да, да — IE11 в самой популярной версии отсутствует. И поставить его нельзя. Хром или огнелис — вот выбор домохозяйки. И нет, не надо предлагать версию 2009 года в 2013 году, это уже даже не смешно.
Посмотреть кино? Кодек пак не забудьте.
Показать фотографии? Нет, в «просмотрщике факсов» это делать неудобно.
Снять почту? Вышеупомянутый «мысыгысы» запарит предупреждениями.
В вин8 хоть какая-то попытка обозначилась (крайне неудачная) в нужном направлении.
И вы удивляетесь, что решето? А что должно было получиться, если юзер неспособен отличить незабудку от дерьма, а мейл-ру дроппер включает в поставку и подписывает своим сертификатом, суперзащищенный комп что-ли ;-)
В первую очередь потому, что базовый набор чрезвычайно беден. Сравните с набором софта от фруктовой компании. Или с репозиториями линукса. Или с гугель-плеем. В типичном случае у вас на компе не появится софта из невирифицируемых источников, потреблять контент можно из коробки.
А у микрософт — ну вы поняли, перво-наперво надо поставить браузер ;-) Да, да — IE11 в самой популярной версии отсутствует. И поставить его нельзя. Хром или огнелис — вот выбор домохозяйки. И нет, не надо предлагать версию 2009 года в 2013 году, это уже даже не смешно.
Посмотреть кино? Кодек пак не забудьте.
Показать фотографии? Нет, в «просмотрщике факсов» это делать неудобно.
Снять почту? Вышеупомянутый «мысыгысы» запарит предупреждениями.
В вин8 хоть какая-то попытка обозначилась (крайне неудачная) в нужном направлении.
И вы удивляетесь, что решето? А что должно было получиться, если юзер неспособен отличить незабудку от дерьма, а мейл-ру дроппер включает в поставку и подписывает своим сертификатом, суперзащищенный комп что-ли ;-)
Вот пишу с МакБука:
тут нет кодеков, более того, нет даже простого метода их установки (типа к-лайт в винде), есть периан + поиск недостающих вручную
посмотреть фотки? стандартный маковский Превью не умеет даже листать картинки, если открыть одну, что виндовый может делать
что такое «снять почту» я не совсем понял, но уже много лет ни в одной системе не пользуюсь (как и большое количество других людей) почтовыми клиентами: вэбинтерфейс часто удобнее
так что я бы не стал говорить, что базовый набор мака чем-то лучше, в линуксах лучше да, но тоже не идеален
ну и просто о своей позиции: мне тоже не нравится УАК (гораздо более удобной и «правильной» кажется система распределения прав в никсах), но высказался я по поводу несогласия с вашими аргументыми
тут нет кодеков, более того, нет даже простого метода их установки (типа к-лайт в винде), есть периан + поиск недостающих вручную
посмотреть фотки? стандартный маковский Превью не умеет даже листать картинки, если открыть одну, что виндовый может делать
что такое «снять почту» я не совсем понял, но уже много лет ни в одной системе не пользуюсь (как и большое количество других людей) почтовыми клиентами: вэбинтерфейс часто удобнее
так что я бы не стал говорить, что базовый набор мака чем-то лучше, в линуксах лучше да, но тоже не идеален
ну и просто о своей позиции: мне тоже не нравится УАК (гораздо более удобной и «правильной» кажется система распределения прав в никсах), но высказался я по поводу несогласия с вашими аргументыми
Фу, какой глупый и пошлый наброс. Скажите, а мак-фанов обязательно заставляют подписываться при первом включении системы на демонстрацию ненависти к продуктам Microsoft в форумах и блогах? Хоть скидку-то на обновления MacOS X дают за это? ;)
Я на вас погляжу когда вы перейдете в метрошный плеер, вот тут будет наброс так наброс. Вы в курсе, что к метрошной версии кодеки добавить нельзя? Он их просто не поддерживает ;-)
Мне пофиг, я не пользуюсь metro, я пользуюсь десктопом, у меня нет задач под metro.
PS. Так что, скидочку-то дают? ;)
PS. Так что, скидочку-то дают? ;)
Иксперта видно сразу. Вы в курсе, что «метрошный» плеер использует Media Foundation (точно так же как и «десктопный», точно так же как и «video» тег в браузере/WWA, точно так же как Movie Maker, точно так же как большая часть других программ, которым нужно кодирование/декодирование видео)? Угадайте (Вам может понадобиться до трех попыток), поддерживает ли Media Foundation кодеки.
Ага, ага. Вы про какой из двух плееров из коробки? ;-)
Один (на десктопе) — работает, второй нет.
Один (на десктопе) — работает, второй нет.
Ага, ага. Я про оба плеера из коробки.
Тот, который «второй» — это обычный WWA, который использует video элемент для проигрывания видео. Самый простой тест:
1. Идем в modern IE на html5test.com (довольно идиотский тест, но он позволяет быстро посмотреть на статус поддержки WebM) и убеждаемся, что WebM не поддерживается
2. Устанавливаем гугловый WebM MF кодек
3. Идем в modern IE на html5test.com и убеждаемся, что video element теперь поддерживает WebM
Но эти тесты не особо и нужны, если хотя бы примерно понимать что такое MF, как работают «modern» приложения (в частности какие ограничения накладываются на загрузку динамических библиотек и используемое API).
Вот смотрите. Есть MediaExtensionManager, который позволяет регистрировать произвольные кодеки прямо изнутри «modern» приложения (со вполне естественным ограничением, что данное расширение будет доступно только в пределах данного расширения).
Вот список raw COM («desktop» style) интерфейсов, которые можно использовать из modern приложений без всякого WinRT (правда только из C++ или из .net через CCW/RCW обертки). В частности можно использовать IMFTransform, который, как Вы, конечно же, знаете, является «базовым» интерфейсом для всех MF кодеков и эффектов (Media Foundation Transforms).
Что конкретно Вы имеете в виду под «не работает»? DirectShow фильтры в modern процессах не будут работать (если, конечно, их не обернуть в MFT), но DirectShow уже почти 10 лет как не рекомендуется к использованию и сам API в принципе недоступен в AppContainer-ах. Все вменяемые кодеки уже давно реализовывают MFT интерфейсы (в частности из-за интеграции с DXVA/DXVA2), а у тех кто еще не поддерживает появился хороший стимул «догнать» прогресс.
Тот, который «второй» — это обычный WWA, который использует video элемент для проигрывания видео. Самый простой тест:
1. Идем в modern IE на html5test.com (довольно идиотский тест, но он позволяет быстро посмотреть на статус поддержки WebM) и убеждаемся, что WebM не поддерживается
2. Устанавливаем гугловый WebM MF кодек
3. Идем в modern IE на html5test.com и убеждаемся, что video element теперь поддерживает WebM
Но эти тесты не особо и нужны, если хотя бы примерно понимать что такое MF, как работают «modern» приложения (в частности какие ограничения накладываются на загрузку динамических библиотек и используемое API).
Вот смотрите. Есть MediaExtensionManager, который позволяет регистрировать произвольные кодеки прямо изнутри «modern» приложения (со вполне естественным ограничением, что данное расширение будет доступно только в пределах данного расширения).
Вот список raw COM («desktop» style) интерфейсов, которые можно использовать из modern приложений без всякого WinRT (правда только из C++ или из .net через CCW/RCW обертки). В частности можно использовать IMFTransform, который, как Вы, конечно же, знаете, является «базовым» интерфейсом для всех MF кодеков и эффектов (Media Foundation Transforms).
Что конкретно Вы имеете в виду под «не работает»? DirectShow фильтры в modern процессах не будут работать (если, конечно, их не обернуть в MFT), но DirectShow уже почти 10 лет как не рекомендуется к использованию и сам API в принципе недоступен в AppContainer-ах. Все вменяемые кодеки уже давно реализовывают MFT интерфейсы (в частности из-за интеграции с DXVA/DXVA2), а у тех кто еще не поддерживает появился хороший стимул «догнать» прогресс.
Это бат-то — дефолтный софт? Ну-ну.
А в маке как раз такого софта хватает. Из trusted источника, заметьте.
А в маке как раз такого софта хватает. Из trusted источника, заметьте.
> могу сказать только одно — в вин дефолтного софта значительно больше
ваше?
И тут внезапно выскакивают какие-то баты, VLC и так далее. За всем этим надо лезть в интернет. Пользуясь браузером. Не спецпрограммой «макетплейс» как на маке. Не на строго модерируемый ресурс, где каждая программа подписана своим сертификатом. А просто в интернете.
Это вы так мастерски рассказали про «значительно больше», прошу заметить.
А вот соскакиваю с темы почему-то я ;-)
ваше?
И тут внезапно выскакивают какие-то баты, VLC и так далее. За всем этим надо лезть в интернет. Пользуясь браузером. Не спецпрограммой «макетплейс» как на маке. Не на строго модерируемый ресурс, где каждая программа подписана своим сертификатом. А просто в интернете.
Это вы так мастерски рассказали про «значительно больше», прошу заметить.
А вот соскакиваю с темы почему-то я ;-)
> Мое. В ответ на «В первую очередь потому, что базовый набор чрезвычайно беден.». Не более того. Не надо весь остальной текст комментария подводить под эту строку ;)
То есть дискуссия у нас получается такая.
Я. Из коробки (на диске) крайне мало полезных программ.
Вы. Да ни фига! Их там завались. Поэтому я все что надо скачиваю из альтернативных источников! Причем выбираю такие которые фактически работают в portable виде, чтобы у-а-це не мешал.
;-)
Единственный пример, который вы привели — это просмотрщик фотографий. Который примитивнее даже встроенной галерейки андроида, к слову. И уж явно не линуксовый digicam.
>>А у микрософт — ну вы поняли, перво-наперво надо поставить браузер ;-)
> Да ладно?! Что-то не припомню за полтора десятка лет, чтобы какая-то версия винды поставлялась без браузера
(открывает about у встроенного IE в своей 7ке). Опа! 2009 год. Сюрприз. Вас устраивает этот раритет? Я за вас рад. Скажите, а тот огрызок который в андроиде 2.2 (примерно тот же год выпуска) вас тоже устраивает? Какой вы везучий человек. А у меня и половины нужных мне сайтов не открывается ни там ни там.
Так что наличествует скачивалка хрома, факт. А называть это браузером… ;-)
> ставлю удобный проигрыватель из проверенного(!!!) источника
Это videolan.org проверенный источник? А мне тут в треде рассказывают что ни фига не проверенный, т. к. авторы плеера не имеют доступа ко всему оборудованию между моим компом и их сервером. ;-)
Кстати вы в курсе, что у опенсорсных плееров есть еще и набор бинарных dshow кодеков в комплекте? Потому что других нет? И их приходится на тот же линух ставить. Вот вам и проверенный источник — который притягивает с собой гору непонятной бинари 10летней давности.
Про удобство — вещь это субъективная, я вот файндеру фар предпочитаю ;-)
> есть ли дефолтный софт для почты в винде
Outlook Express. Который именно почтовый клиент, а не клиент exchange как аутглюк. Гоораздо удобнее чем кубы и хорды в браузере.
> могу утверждать на своем опыте — основная дыра системы = дурной пользователь
Потрясающе звучит. Зловеще. ;-)
А у меня дети на планшетки перешли, удобнее, проще, и безопаснее. И у-а-це не нужен ;-)
То есть дискуссия у нас получается такая.
Я. Из коробки (на диске) крайне мало полезных программ.
Вы. Да ни фига! Их там завались. Поэтому я все что надо скачиваю из альтернативных источников! Причем выбираю такие которые фактически работают в portable виде, чтобы у-а-це не мешал.
;-)
Единственный пример, который вы привели — это просмотрщик фотографий. Который примитивнее даже встроенной галерейки андроида, к слову. И уж явно не линуксовый digicam.
>>А у микрософт — ну вы поняли, перво-наперво надо поставить браузер ;-)
> Да ладно?! Что-то не припомню за полтора десятка лет, чтобы какая-то версия винды поставлялась без браузера
(открывает about у встроенного IE в своей 7ке). Опа! 2009 год. Сюрприз. Вас устраивает этот раритет? Я за вас рад. Скажите, а тот огрызок который в андроиде 2.2 (примерно тот же год выпуска) вас тоже устраивает? Какой вы везучий человек. А у меня и половины нужных мне сайтов не открывается ни там ни там.
Так что наличествует скачивалка хрома, факт. А называть это браузером… ;-)
> ставлю удобный проигрыватель из проверенного(!!!) источника
Это videolan.org проверенный источник? А мне тут в треде рассказывают что ни фига не проверенный, т. к. авторы плеера не имеют доступа ко всему оборудованию между моим компом и их сервером. ;-)
Кстати вы в курсе, что у опенсорсных плееров есть еще и набор бинарных dshow кодеков в комплекте? Потому что других нет? И их приходится на тот же линух ставить. Вот вам и проверенный источник — который притягивает с собой гору непонятной бинари 10летней давности.
Про удобство — вещь это субъективная, я вот файндеру фар предпочитаю ;-)
> есть ли дефолтный софт для почты в винде
Outlook Express. Который именно почтовый клиент, а не клиент exchange как аутглюк. Гоораздо удобнее чем кубы и хорды в браузере.
> могу утверждать на своем опыте — основная дыра системы = дурной пользователь
Потрясающе звучит. Зловеще. ;-)
А у меня дети на планшетки перешли, удобнее, проще, и безопаснее. И у-а-це не нужен ;-)
> (открывает about у встроенного IE в своей 7ке). Опа! 2009 год. Сюрприз. Вас устраивает этот раритет? Я за вас рад. Скажите, а тот огрызок который в андроиде 2.2 (примерно тот же год выпуска) вас тоже устраивает? Какой вы везучий человек. А у меня и половины нужных мне сайтов не открывается ни там ни там.
Странно, а у меня после установки винды и всех обновлений стоит свежий IE. Что я делаю не так?
Хотя вообще-то на своем десктопе я хром юзаю, но все-же.
Странно, а у меня после установки винды и всех обновлений стоит свежий IE. Что я делаю не так?
Хотя вообще-то на своем десктопе я хром юзаю, но все-же.
> Ну так сравните с маковским))). Андроид покажется верхом совершенства ;)
Это вы про совет просматривать в файндере? Да, тогда андроидный просто недосягаемая вершина ;-)
> Т.е., остальные системы вы обновляете, а винда обойдется?)
На одной 8ка, на второй 9ка, обе с автоапдейтами. 8ка — 2009 года, 9ка — 2011го. И тот и другой имеют проблемы с работой с кучей нужных мне сайтов.
> Ну, с такой логикой проверенных вообще не существует )))
Тссс! А то местные «специалисты» услышат ;-)
> Но предположим, что он есть: UAC с ним ругается на каждое новое письмо?)
Самый сюр был в висте. Нажимаешь кнопку «послать письмо» — выскакивает грозное окошко «подтвердите что это вы запустили процесс msmsgs.exe».
Потом стало почитабельнее, но осадочек-то остался ;-)
Я злой родитель, у меня на планшетках платный софт под запретом и фремиумный контент — тоже. Пока от финансового попадалова спасает. А мультики под линуксом крутятся, для этого винда не нужна.
Это вы про совет просматривать в файндере? Да, тогда андроидный просто недосягаемая вершина ;-)
> Т.е., остальные системы вы обновляете, а винда обойдется?)
На одной 8ка, на второй 9ка, обе с автоапдейтами. 8ка — 2009 года, 9ка — 2011го. И тот и другой имеют проблемы с работой с кучей нужных мне сайтов.
> Ну, с такой логикой проверенных вообще не существует )))
Тссс! А то местные «специалисты» услышат ;-)
> Но предположим, что он есть: UAC с ним ругается на каждое новое письмо?)
Самый сюр был в висте. Нажимаешь кнопку «послать письмо» — выскакивает грозное окошко «подтвердите что это вы запустили процесс msmsgs.exe».
Потом стало почитабельнее, но осадочек-то остался ;-)
Я злой родитель, у меня на планшетках платный софт под запретом и фремиумный контент — тоже. Пока от финансового попадалова спасает. А мультики под линуксом крутятся, для этого винда не нужна.
> Вы на ХР сидите что-ли?!
Win7 32 битная (да, раритет) с 8кой и 64бит она же с 9кой. Ослика нумер 10 нет ни там ни там.
> В остальном, для меня лично, доверенные = те, которым доверяю я, а не сторонние системы и люди.
Здравый подход. Разделяю.
> msmsgs.exe — это MSN Instant Messenger
Как-то близко называлось, сейчас ни одной висты даже в виртуалке уже нет, чтобы не ошибиться в паре букв.
> Под запретом — это как?
На все платежи код вводить надо. А я его детям не сообщаю ;-)
И на всех планшетках нет 3G. Просто беру такие модели, где нету конструктивно, во избежание.
Win7 32 битная (да, раритет) с 8кой и 64бит она же с 9кой. Ослика нумер 10 нет ни там ни там.
> В остальном, для меня лично, доверенные = те, которым доверяю я, а не сторонние системы и люди.
Здравый подход. Разделяю.
> msmsgs.exe — это MSN Instant Messenger
Как-то близко называлось, сейчас ни одной висты даже в виртуалке уже нет, чтобы не ошибиться в паре букв.
> Под запретом — это как?
На все платежи код вводить надо. А я его детям не сообщаю ;-)
И на всех планшетках нет 3G. Просто беру такие модели, где нету конструктивно, во избежание.
> msimn.exe
Точно, оно родимое. Спасибо.
> А в чем смысл отсутствия 3G?
Аж на три тарифных плана меньше. И так число мобильников превысило все разумные пределы ;-)
Да и зачем в планшетке еще и телефон? Дома с вайфаем проблем нет, а дети пока что маловаты — самостоятельно в старбакс ходить и там яблочком понтоваться ;-) Если уж реально нужен интернет в дороге, то его раздаст папин лопатофон.
Точно, оно родимое. Спасибо.
> А в чем смысл отсутствия 3G?
Аж на три тарифных плана меньше. И так число мобильников превысило все разумные пределы ;-)
Да и зачем в планшетке еще и телефон? Дома с вайфаем проблем нет, а дети пока что маловаты — самостоятельно в старбакс ходить и там яблочком понтоваться ;-) Если уж реально нужен интернет в дороге, то его раздаст папин лопатофон.
Ну да, из trusted источника
Причем половина этих программ была в поставке винды до висты включительно, а потом была вынесена в отдельную загрузку (не в последнюю очередь в связи с «антимонопольными» претензиями). Я долгое время пользовался Live Mail в качестве почтового клиента и на тот же The Bat! без слез смотреть не могу. Photo Gallery — очень мощный каталогизатор фотографий (Adobe Bridge не заменяет и не пытается — ориентирован на консьюмеров, а не профессионалов) с возможностью клеить панорами, фьюзить несколько неудачных фоток в одну удачную, не говоря уже о просмотре, тегировании как ключевыми словами так и присутствующими людьми (которые, кстати, весьма неплохо распознаются автоматически) и пр., Live Messenger мне очень нравился по простоте и удобству интерфейса — очень жаль, что его убили в пользу скайпа (какие же Delphi приложения все таки уродские).
Ну а начиная с Win8 — все те же приложения уже идут «в коробке» (подозреваю, что не в последнюю очередь в связи с окончанием «испытательного срока»).
Что же до Ваших оценок по поводу «удачности» попыток — я позволю себе проигнорировать Ваше, без сомнения, профессиональное и взвешенное мнение и остаться при своем — жалком и недостойном.
Причем половина этих программ была в поставке винды до висты включительно, а потом была вынесена в отдельную загрузку (не в последнюю очередь в связи с «антимонопольными» претензиями). Я долгое время пользовался Live Mail в качестве почтового клиента и на тот же The Bat! без слез смотреть не могу. Photo Gallery — очень мощный каталогизатор фотографий (Adobe Bridge не заменяет и не пытается — ориентирован на консьюмеров, а не профессионалов) с возможностью клеить панорами, фьюзить несколько неудачных фоток в одну удачную, не говоря уже о просмотре, тегировании как ключевыми словами так и присутствующими людьми (которые, кстати, весьма неплохо распознаются автоматически) и пр., Live Messenger мне очень нравился по простоте и удобству интерфейса — очень жаль, что его убили в пользу скайпа (какие же Delphi приложения все таки уродские).
Ну а начиная с Win8 — все те же приложения уже идут «в коробке» (подозреваю, что не в последнюю очередь в связи с окончанием «испытательного срока»).
Что же до Ваших оценок по поводу «удачности» попыток — я позволю себе проигнорировать Ваше, без сомнения, профессиональное и взвешенное мнение и остаться при своем — жалком и недостойном.
На всякий случай (у меня есть странное предчуствие, что Вы, как настоящий эксперт, не будете утруждать себя попытками разобраться в вопросе): перечисленное — далеко не полный список first party приложений, входящих в Live Essentials.
(переходит по ссылке)
Content is being blocked by Internet Explorer Enhanced Security
(дважды нажимает на кнопку close, в открывшемся нажимает зеленую кнопку download now)
Your current security settings do not allow this file to be downloaded
Так что вы там рассказывали про доверенный источник, можно подробнее? ;-)
Content is being blocked by Internet Explorer Enhanced Security
(дважды нажимает на кнопку close, в открывшемся нажимает зеленую кнопку download now)
Your current security settings do not allow this file to be downloaded
Так что вы там рассказывали про доверенный источник, можно подробнее? ;-)
Я давно последний раз занимался этим, так что не в курсе… Там что, на изменении настроек безопасности появился тест IQ с проходным баллом не менее 50-и, если у вас такие проблемы поменять это?
Вы, как я понимаю, нигде и никогда никакие настройки не меняете и ожидаете, что сервер начнет полноценно работать по вашим требованиям сразу после инсталляции?
Вы, как я понимаю, нигде и никогда никакие настройки не меняете и ожидаете, что сервер начнет полноценно работать по вашим требованиям сразу после инсталляции?
Вас тут не поймешь — одни утверждают что наличие присутствия на сайте микрософта ничего не означает, другие — что это доверенный источник. Микрософт склоняется к первым — черт ногу сломит. ;-)
Скажите, а если чтобы войти в сверхзащищенное здание, требуется пройти через темный лес с кучей нехороших зверюг, то это здание считается безопасным?
И вы так и не ответили — с какой стати MS объявлять исключения из правила «всё, что в интернете и не HTTPS, фу-фу»? Ради одного человека, которому не хватает мозгов изменить одну настройку?
И вы так и не ответили — с какой стати MS объявлять исключения из правила «всё, что в интернете и не HTTPS, фу-фу»? Ради одного человека, которому не хватает мозгов изменить одну настройку?
Покажите уже ваш темный лес и зверюг заодно. Жутко любопытно.
Может быть это не мне «не хватает мозгов изменить настройку», мало ли. Может это кому-то другому мерещатся враги под кроватью.
Может быть это не мне «не хватает мозгов изменить настройку», мало ли. Может это кому-то другому мерещатся враги под кроватью.
Может быть это не мне «не хватает мозгов изменить настройку», мало ли
Вы в этом сомневаетесь? Я — нет. Я вообще называю безумцем того, кто ругается на включенную по умолчанию настройку, которая убирается за секунды. Раз она вас так нервирует, то вы не способны ее поменять. Вопрос — почему вы работаете в сфере IT, если всё так плохо?
Ну то есть злых врагов зверюг вы показать не можете, я правильно понял?
Майкрософт доверенный источник, да. Но это не повод добавлять http://*.microsoft.com/ в список доверенных по умолчанию после установки Windows Server на машину. Вы не согласны? Вы с понятием фишинг знакомы? Вам прочитать лекцию о подставных DNS-серверах, перехвату траффика и прочих прелестях? Речь же идет не о десктопе домохозяйки, а о каком-то корпоративном сервере. Не путайте теплое с мягким, не уходите в абсолют. Вы же не ситх. Наверное.
А вот работать под админом — верх безолаберности.Это не совсем так. Если включен UAC, то админ всегда работает с правами обычного пользователя. И лишь когда надо — появляется окно UAC.
UAC специально предназначен, чтобы совместить комфорт работы под админом с безопасностью работы под ограниченным пользователем. Все-таки нажимать кнопку удобнее, чем вбивать пароль, или тем более запускать runas как это было на XP.
Если UAC включен, то между работой под админом и работой под обычным пользователем — нет никакой разницы. (админ будет работать с ограниченными правами обычного пользователя).
А за установку Live Essentials у нас уже расстреливают? Вот за ПРЕДустановку медиа-плеера (или браузера) в ОС — таки могут оштрафовать на пару миллиардов долларов.
А отключают UAC только самоуверенные идиоты, да.
А отключают UAC только самоуверенные идиоты, да.
Все кто хотят тихо обновляться э переходят на обновлятор в виде сервиса. Все проблемы решает, как прав, так и наличия всегда последней версии. При этом, опытный пользователь может выключить в случае чего.
Есть антивирус, который блокирует любые вредоносные поползновения на корню.
Впервые вижу такую наивность. Хотя нет, не впервые…
Вы наверняка живете в доме без замка на входной двери, но с сигнализацией.
но мне нравится, когда я могу делать с любым файлом любые действия, а не продираться через миллиард ограничений. Взять тот же Internet Explorer — там чтобы инсталлер хрома скачать, раз пять надо подтвердить очевидное
Ну да, очень частая задача — установка Хрома. Каждый день по несколько раз выполняется. (хотя вроде как раз там повышение не запрашивается, ибо установка идет в домашнюю директорию)
А вот когда вы зайдете на зараженную страницу, она задействует один из миллиона баг в браузере класса «code execution», и этот код сразу получит права администратора… Скажем так, обычно антивирус тут не поможет.
(хотя вроде как раз там повышение не запрашивается, ибо установка идет в домашнюю директорию)Очень правильная политика, да?
А вот когда вы зайдете на зараженную страницу, она задействует один из миллиона баг в браузере класса «code execution», и этот код сразу получит права администратора…А может и не попросить и локнуть винду/пошифровать файлы + потырить пароли. Много от чего защитились?
Я не говорю, что толка вообще никакого нет, но он мизерный, если честно.
Очень правильная политика, да?
Отвратительная. Зато излишне нервным людям не приходится лишний раз нервничать, нажимая одну кнопку.
А может и не попросить и локнуть винду/пошифровать файлы + потырить пароли.
Без серьезных привилегий локнуть винду, тем более для всех пользователей, не удастся. Шифровать файлы? А бекапы на что? Потырить пароли? Не надо их хранить на компьютере — а перехватить ввод пароля на странице зловреду не удастся.
А с правами администратора в систему можно посадить руткита, который легко сделает описанное вами. И выковырять его оттуда будет очень сложно. Установленным на самой системе антивирусом — скорее даже невозможно.
Вот вас бросает от простых юзеров до «бэкапы». Простые юзеры про бэкапы ничего не знают и настроить их с трудом могут. При этом адвенсед юзеру уак не особо помогает, скорее поможет какой-нибудь хипс, т.к. информации показывает больше, а вопросов задаст меньше после создания правил для типичных действий.
Ввод пароля на странице перехватывается спокойно. Или у вас браузер от другой учетки запускается?
Без серьёзных привилегий на запись кому угодно доступна c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ и аналоги в реестре. Чайник такое победить уже не осилит.
Ввод пароля на странице перехватывается спокойно. Или у вас браузер от другой учетки запускается?
Без серьёзных привилегий на запись кому угодно доступна c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ и аналоги в реестре. Чайник такое победить уже не осилит.
Прошу развидеть моё высказывания про стартап в програмдата, доступа туда нет. С чем-то спутал, был не прав.
При этом адвенсед юзеру уак не особо помогает
Чушь. Использование механизма разграничения прав доступа — главный инструпент адвансед юзера. Не помогут ему как раз антивирусы и хипс (который уже практически забыт и в корпоративных системах, а на домашних подобными вещами единицы пользовались).
Без серьёзных привилегий на запись кому угодно доступна c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ и аналоги в реестре.
Запускаться оно будет от имени пользователя.
Простой юзер не знает про бэкапы до момента потери информации.
Даже если это так, то всё-равно попытки свежеустановленного IE блокировать сайты *.microsoft.com — выглядят, ну как минимум, странно.
И это вы еще не дошли до «скачать офис», вот где сюр. Просто — нельзя, и все. Подумаешь — вы только что его купили? Звоните в суппорт, вам прочитают по бумажке решение (с индусским акцентом).
;-)
;-)
Вы про серверную винду? Она блокирует не потому что microsoft.com, а потому что не https, и в недоверенную зону.
Сам процесс восхищает. Я купил на офис-ком офис и хочу себе его поставить. Недоверенная зона? Что это, я только что перечислил 400 баксов? Почему микрософт выкладывает свои продукты в те места, которым не доверяет?
;-)
;-)
А с какой стати добавлять http://*.microsoft.com/* в доверенную зону? Мало ли что может перехватить трафик по дороге?
И вообще, зачем пользоваться браузером на серверной ОС?
И вообще, зачем пользоваться браузером на серверной ОС?
С какой стати выкладывать продукт в то место которому нельзя доверять, чтобы «при скачивании виндофс 95 получилась осьдва, так как у вас модем с коррекцией ошибок»?
;-)
;-)
А каким образом люди, обращаясь на совершенно доверенный vkontakte.ru, умудряются получать «акаунт заблакираван, атправь платный СМС»?
Не-не-не, давайте про микрософт. Так что им помешало положить собственные продукты в то место, которое контролирует микрософт?
Ну, чтобы при скачивании продукта микрософт с сайта микрософт браузером микрософт на систему микрософт (и софт подписан сертификатом микрософт, который часть системы микрософт) — пользователь мог просто поставить?
Что в этой цепочке не так, почему браузер микрософт не может доверять сайтам микрософт? В облаке микрософт не нашлось десятка инстансов для https? Лень было сунуть офис в свой даунлоадер микрософт?
А ведь ответ прост до ужаса — некому перечислить аж все десять доменов микрософт прямо в начальной конфигурации защищенного режима браузера микрософт, который часть системы микрософт. Только и всего. Два мидл-менагера не договорились, вот и все.
И не надо на фконтакте кивать, вконтакте еще не поставляет свою мега-защищенную операционку, и не спрашивает «а это точно вы», и не объявляет на весь мир trustworthy computing. Все это — у одной компании из Редмонда.
Ну, чтобы при скачивании продукта микрософт с сайта микрософт браузером микрософт на систему микрософт (и софт подписан сертификатом микрософт, который часть системы микрософт) — пользователь мог просто поставить?
Что в этой цепочке не так, почему браузер микрософт не может доверять сайтам микрософт? В облаке микрософт не нашлось десятка инстансов для https? Лень было сунуть офис в свой даунлоадер микрософт?
А ведь ответ прост до ужаса — некому перечислить аж все десять доменов микрософт прямо в начальной конфигурации защищенного режима браузера микрософт, который часть системы микрософт. Только и всего. Два мидл-менагера не договорились, вот и все.
И не надо на фконтакте кивать, вконтакте еще не поставляет свою мега-защищенную операционку, и не спрашивает «а это точно вы», и не объявляет на весь мир trustworthy computing. Все это — у одной компании из Редмонда.
Смотрите мой коммент ниже. Логика в Редмонде как раз правильная. Если ваш компьютер под управлением ОС Виндовс, это еще вовсе не значит, что вы как владелец компьютера и информации на нем хотите доверять майкросовтовским сайтам.
Так что им помешало положить собственные продукты в то место, которое контролирует микрософт?
Встречный вопрос: что мешает микрософту контролировать всю трассу от порта подключения компьютера пользователя до собственного веб-сервера?
чтобы при скачивании продукта микрософт с сайта микрософт
Легко может оказаться, что пользователь попадет вовсе не туда, и ему насуют зловредов.
В облаке микрософт не нашлось десятка инстансов для https?
Это, кстати, тоже не гарантия от похаканного компьютера пользователя.
некому перечислить аж все десять доменов микрософт прямо в начальной конфигурации защищенного режима браузера микрософт
Вот тут вы начинаете всерьез бредить.
> Встречный вопрос: что мешает микрософту контролировать всю трассу от порта подключения компьютера пользователя до собственного веб-сервера?
Я вообще-то всего лишь хочу получить оплаченный мной офис с сайта микрософт. На свежезапущенный чистенький инстанс амазона. Всего лишь. Используя хром я могу это сделать, а используя интернет експлойтер — нет. Вот и все.
Все остальное — это попытки навести тень на плетень, уж простите. При чем тут зловреды? Какая разница микрософту, зловред оплатил покупку или я сам? Непонятно.
Я вообще-то всего лишь хочу получить оплаченный мной офис с сайта микрософт. На свежезапущенный чистенький инстанс амазона. Всего лишь. Используя хром я могу это сделать, а используя интернет експлойтер — нет. Вот и все.
Все остальное — это попытки навести тень на плетень, уж простите. При чем тут зловреды? Какая разница микрософту, зловред оплатил покупку или я сам? Непонятно.
Я вообще-то всего лишь хочу получить оплаченный мной офис с сайта микрософт.
Так вперед. На десктопной винде никаких проблем. На серверной — одну маленькую настройку поправить в свойствах IE, и станет как на десктопной.
Какая разница микрософту
Проблема именно в том, что серверная винда вообще не должна ходить браузером в интернет. Мне казалось, это логично.
>> Я вообще-то всего лишь хочу получить оплаченный мной офис с сайта микрософт.
> Так вперед.
Микрософт експлойтер против ;-)
> Проблема именно в том, что серверная винда вообще не должна ходить браузером в интернет
С какого перепугу? Вот у меня к примеру сервис, которому даешь урлу, а он ее скачивает, отрисовывает (браузером) страничку, накладывает эффекты там, виньетки — ватермарки, еще что-нибудь нехорошее делает. И к примеру для айпада оптимизирует.
А вы — «логично, чтобы не».
Как раз очень логично чтобы да! ;-)
> Так вперед.
Микрософт експлойтер против ;-)
> Проблема именно в том, что серверная винда вообще не должна ходить браузером в интернет
С какого перепугу? Вот у меня к примеру сервис, которому даешь урлу, а он ее скачивает, отрисовывает (браузером) страничку, накладывает эффекты там, виньетки — ватермарки, еще что-нибудь нехорошее делает. И к примеру для айпада оптимизирует.
А вы — «логично, чтобы не».
Как раз очень логично чтобы да! ;-)
С какого перепугу?
С того, что серверу нечего делать в интернете.
«Веб-сервер» — лишь маленькая подкатегория понятия «сервер». Типичный виндовый сервер никогда не запросит ничего за пределами корпоративной сети.
Еще раз спрашиваю — что мешает изменить одну маленькую настройку, чтобы в вашем случае IE пускал куда надо? Вы не знаете, где она? Это — некомпетентность, в этом случае держитесь от подобных вещей подальше, чтобы не напортачить.
> С того, что серверу нечего делать в интернете.
А давайте вы за меня не будете решать, что моим серверам надо в интернете. А то смешно звучит, уж простите.
Если у вас сервер заканчивается контроллером домена, то это не значит что у всех так.
А давайте вы за меня не будете решать, что моим серверам надо в интернете. А то смешно звучит, уж простите.
Если у вас сервер заканчивается контроллером домена, то это не значит что у всех так.
Вопрос как я погляжу, стоит ребром. Доверять ли по умолчанию не https адресам майкрософта сразу после установки и включения сервера. Давайте упростим вопрос. Почему после установки и первого включения мой сервер должен доверять вообще любому не https ресурсу в глобальном интернете? Что бы таким как вы было проще хромик на него поставить? Вы не находите это брешью в безопасности, не?
Нет, не нахожу это брешью в безопасности.
И дело тут вот в чем. Не бывает просто безопасности.
Прежде чем вообще что-либо защищать, необходимо предоставить анализ угроз, определить защищаекмый периметр, и по каждому вероятному вектору атаки предоставить стоимость защиты и ожидаемую сумму ущерба.
И вот что предлагается ревнителями «почему доверять». На площадке вашего провайдера сидит злоумышленник, который лично для вас будет проводить фишинг или хотя бы днс спуфинг, в ожидании когда вы пойдете на сервер микрософт. Под видом офиса вам подсунут жуткого трояна, который сделает что-то нехорошее. Оцениваемая сумма ущерба оценке не поддается, но близка к бесконечности.
Так? ;-)
Вот именно, анекдот выходит. Зато — давайте запретим по умолчанию, это же так просто, одна галочка в настройках… и неважно, что для вашей организации это смысла не имеет, зато комплекс вахтера удовлетворен, иллюзия безопасности достигнута.
И дело тут вот в чем. Не бывает просто безопасности.
Прежде чем вообще что-либо защищать, необходимо предоставить анализ угроз, определить защищаекмый периметр, и по каждому вероятному вектору атаки предоставить стоимость защиты и ожидаемую сумму ущерба.
И вот что предлагается ревнителями «почему доверять». На площадке вашего провайдера сидит злоумышленник, который лично для вас будет проводить фишинг или хотя бы днс спуфинг, в ожидании когда вы пойдете на сервер микрософт. Под видом офиса вам подсунут жуткого трояна, который сделает что-то нехорошее. Оцениваемая сумма ущерба оценке не поддается, но близка к бесконечности.
Так? ;-)
Вот именно, анекдот выходит. Зато — давайте запретим по умолчанию, это же так просто, одна галочка в настройках… и неважно, что для вашей организации это смысла не имеет, зато комплекс вахтера удовлетворен, иллюзия безопасности достигнута.
Прежде чем вообще что-либо защищать, необходимо предоставить анализ угроз, определить защищаекмый периметр
Ага. Периметром традиционно является граница между корпоративной сетью и интернетом. С какой стати городить исключения?
и неважно, что для вашей организации это смысла не имеет
Все остальные настройки по умолчанию любой ОС и любой программы под нее вас полностью устраивают?
иллюзия безопасности достигнута.
Снова бредите. Хотя нет, не «снова» — вы не прекращали бредить ни на минуту.
У нас много серверов. При этом вебсервера можно по пальцам пересчитать. Контроллеры домена — тоже.
Ну и действительно глупо объяснять что-то человеку, ставящему стучащий обо всем и вся в гугл хром на продуктивные сервера. Вы ни разу не находили в кеше гугла внутренние страницы, недоступные внешнему миру?
А почему вы за всех решаете?
Дефолтная настройка «запретить к любые обращения по небезопасным протоколам к недоверенным зонам» — наиболее секьюрная. Исключения требуются лишь в единичных случаях. Так с какого перепуга следует ориентироваться на исключения при выборе дефолтных настроек — ради криворукого человека, неспособного поправить одну настройку, скрытую за парой кликов мыши?
Ну и действительно глупо объяснять что-то человеку, ставящему стучащий обо всем и вся в гугл хром на продуктивные сервера. Вы ни разу не находили в кеше гугла внутренние страницы, недоступные внешнему миру?
А давайте вы за меня не будете решать, что моим серверам надо в интернете.
А почему вы за всех решаете?
Дефолтная настройка «запретить к любые обращения по небезопасным протоколам к недоверенным зонам» — наиболее секьюрная. Исключения требуются лишь в единичных случаях. Так с какого перепуга следует ориентироваться на исключения при выборе дефолтных настроек — ради криворукого человека, неспособного поправить одну настройку, скрытую за парой кликов мыши?
а куда она должна ходить браузером? и если не должна, зачем браузер там вообще нужен?
В интранет. И в защищенную зону, определенную политиками отдела безопасности компании. И уж по крайней мере это должно быть через протокол https.
В конце всех концов, чтобы это отключить достаточно щелкнуть по одной ссылке в Server Manager и в открывшемся окошке щелкнуть один радиобаттон и OK, если уж никак нельзя. Но что по умолчанию защита — включена, это, вообще говоря, очень правильное решение.
В конце всех концов, чтобы это отключить достаточно щелкнуть по одной ссылке в Server Manager и в открывшемся окошке щелкнуть один радиобаттон и OK, если уж никак нельзя. Но что по умолчанию защита — включена, это, вообще говоря, очень правильное решение.
Действительно — робот на сервере сам будет ходить интернет експлойтером на сервера компании, определенные политикой безопасности. Отличное предложение, что еще сказать.
Не забудьте админу, который будет что-то на сервере настраивать, выдать бронетрусы и список разрешенных локаций. Вот пусть именно с них он софт и берет. И там же отдел закупок покупает. В интранете. ;-)
Не забудьте админу, который будет что-то на сервере настраивать, выдать бронетрусы и список разрешенных локаций. Вот пусть именно с них он софт и берет. И там же отдел закупок покупает. В интранете. ;-)
О, про деплоймент тулзы вы видимо тоже ничего не слышали %)
Расскажите чего еще я по вашему не знаю ;-)
Отдел закупок покупает софт, получает его из доверенного источника, отдает админу, админ ставин на деплоймент сервере и создает экшн на деплоймент на группу серверов. Да в крайнем случае просто кладет инсталляцию на внутренней шаре. Сервера получают этот софт с доверенного для себя источника, с деплоймент сервера или шары. Видимо, этого вы не знали, судя по вашему предыдушему коментарию.
Или у вас в компании админы — вершина пищевой цепочки, и сами решают, какие локации доверенные а какие нет?
Или у вас в компании админы — вершина пищевой цепочки, и сами решают, какие локации доверенные а какие нет?
Ага, плавали, знаем.
Поэтому установка простейшего апдейта занимает в такой позиции пару месяцев. Ведь на каждый шаг надо натыкать мышкой в сайбеле (или в чем там у вас учет), пройти кучу согласований между отделами и так далее.
Когда я шел таким путем — заняло это полгода, и закончилось тем что на «внутреннюю шару» я сам апдейт и ложил. Из интернета. Сам заходил через три ремот контрола на сервер. Сам ставил. А потом час тыкал мышой по состояниям тикета — сам проверил, сам согласовал, сам подтвердил, сам положил, сам перепроверил, сам поставил, сам проверил что поставилось и так далее.
Но это был очень вменяемый в этом отношении клиент, такая халява не каждый раз обламывалась.
Поэтому установка простейшего апдейта занимает в такой позиции пару месяцев. Ведь на каждый шаг надо натыкать мышкой в сайбеле (или в чем там у вас учет), пройти кучу согласований между отделами и так далее.
Когда я шел таким путем — заняло это полгода, и закончилось тем что на «внутреннюю шару» я сам апдейт и ложил. Из интернета. Сам заходил через три ремот контрола на сервер. Сам ставил. А потом час тыкал мышой по состояниям тикета — сам проверил, сам согласовал, сам подтвердил, сам положил, сам перепроверил, сам поставил, сам проверил что поставилось и так далее.
Но это был очень вменяемый в этом отношении клиент, такая халява не каждый раз обламывалась.
Вменяемый? А по моему очень даже невменяемый. Вы обошли секьюрити полиси компании с подачи руководства и радуетесь этому. Как будто так и должно быть.
Невменяемый — это когда полиси как таковой нет, и поэтому в каждом филиале выдумывают свою. Вот это — действительно плохо. Именно в этом случае приходилось ездить с отмычками и отверткой. К слову, уже лет 10 назад такого не встречалось, это преданья старины глубокой.
А в этом случае не обошел, а строго следовал всем установленным процедурам. Просто за все отвечал вендор, то есть я.
А в этом случае не обошел, а строго следовал всем установленным процедурам. Просто за все отвечал вендор, то есть я.
Зачем ставить офис на серверную винду? Серверная винда предназначается для, простите за тафтологию, серверов. И термин «доверенная зона» означает не зону, которой майкрософт доверяет, а зону вашей подсети\сети, которой должен доверять ваш сервер. И было бы совсем странно обнаружить, что по дефолту внутренний сервер компании Пупкин почему то доверяет зоне майкрософта, которая вообще в интернете.
Офис это не набор менюшек, а вполне себе система для работы с данными. Доступная через OLE automations и прочие чудеса. Как результат, тот же эксель вполне себе востребован на сервере разными ентерпрайзиками, потому и.
Насчет внутренних сетей пупкиных — когда я ставлю сервер микрософта, не доверять микрософту уже поздно, не находите? ;-)
Насчет внутренних сетей пупкиных — когда я ставлю сервер микрософта, не доверять микрософту уже поздно, не находите? ;-)
Вы ошибаетесь. Есть целая куча примеров компаний (энтерпрайзиков, кстати), где секьюрити полиси говорит не добавлять в доверенную зону конкретного сервера любые внешние ресурсы.
В любом случае, если вы добавляете в доверенные не https ресурс, вы сами себе злобный буратино, и сами должны быть уверены, что по этому адресу вы действительно попадете на сервер майкрософта. Да и https не панацея, что там. А вы предлагаете заранее по дефолту в системе оставлять такие адреса в доверенных, что бы злоумышленники заранее знали какие домены подделывать и какой траффик перехватывать?
В любом случае, если вы добавляете в доверенные не https ресурс, вы сами себе злобный буратино, и сами должны быть уверены, что по этому адресу вы действительно попадете на сервер майкрософта. Да и https не панацея, что там. А вы предлагаете заранее по дефолту в системе оставлять такие адреса в доверенных, что бы злоумышленники заранее знали какие домены подделывать и какой траффик перехватывать?
Есть много странных мест, факт. Но вообще гораздо проще завернуть весь трафик через DLP-шный прокси. И не нужны подписи и согласования на добавление.
Кстати, снова напомню — устанавливаем хром и все эти настройки идут лесом ;-)
Фактически, под видом защиты микрософт стимулирует распространение альтернативных браузеров. Я в общем только за.
Кстати, снова напомню — устанавливаем хром и все эти настройки идут лесом ;-)
Фактически, под видом защиты микрософт стимулирует распространение альтернативных браузеров. Я в общем только за.
Именно потому в этих самых секьюрити полиси часто запрещены и хромы в том числе, посколько они не подчиняются групповым политикам контроллера домена. Не распространяйте свой опыт на всех, если вам UAC мешает жить, это не значит что он гавно. Просто конкретно вам он не нужен.
Про стимуляцию распространения браузеров откровенный бред.
Про стимуляцию распространения браузеров откровенный бред.
Я (видимо в отличие от вас) заезжал в такие странные места. Со свежими експлойтами в кармане. Потому что «наша полиси вам не может дать админа», но новую версию надо поставить и желательно до утра.
Вендор приехал устанавливать новую версию своего решения, уже согласованную на самом верху и даже оплаченную — но «вот наша полиси» в каком-нибудь филиале в подзаборинске… ;-)
Натурально, приходилось ломать сервер клиента чтобы выполнить свою работу. Зато хрома нельзя.
;-)
Что смешно, в головном офисе полное понимание и помощь в установке. Особенно когда рядом стоит местный СЕО. И полиси сразу не мешает, потому что вредительство.
Вендор приехал устанавливать новую версию своего решения, уже согласованную на самом верху и даже оплаченную — но «вот наша полиси» в каком-нибудь филиале в подзаборинске… ;-)
Натурально, приходилось ломать сервер клиента чтобы выполнить свою работу. Зато хрома нельзя.
;-)
Что смешно, в головном офисе полное понимание и помощь в установке. Особенно когда рядом стоит местный СЕО. И полиси сразу не мешает, потому что вредительство.
Это бредово звучит. Не даете прав, мы не можем поставить продукт. Какие проблемы. ;-)
Это не только звучит, это реально бред. Но!
Если филиалов много — то заколебешься туда-сюда летать, это раз. Кто будет оплачивать командировку вхолостую? Это ж чистейший убыток, все равно придется лететь еще раз и уже другой бригаде.
Кроме того, не забывайте простой факт — в контракте если написано «запустить к 15му» то значит надо запустить к 15му, а то выданный вендору вагон с баблом бодренько начинает ехать в обратном направлении. Штрафные санкции то се. Это — два.
И большого босса очень мало беспокоят проблемы паранойи админа в каком-нибудь таежном улусе, это три. Ты ж инженер? Возьми отвертку и наведи порядок ;-)
Кроме шуток, филиал без новой версии с головной конторой работать не сможет. И кто будет оплачивать простой? Местный параноик? Ему лет пять вкалывать надо, чтобы три дня простоя компенсировать.
Отвечать будет вендор и потом долго и нудно доказывать не пойми что не пойми кому. Пробовали бухам доказать мелкую техническую деталь, из-за которой вдруг убыток со многими нулями? Попробуйте, только валерьянки купите сразу с полведра, квест еще тот. А уж если это бухи чужой конторы? Которые ваши штрафы себе в плюс уже вписали? То-то.
Вот поэтому — ездили с эксплойтами и отвертками. И регулярно этот «ремнабор» обновляли, потому как никогда не угадать — где у местных завихрение и шизофрения, где паранойя, а где админ умную книжку прочитал.
А вы говорите — полиси.
А бывало еще веселее — вот у большой конторы стоит уникальная кастомная сборка интернет експлойтера. И вот именно эта версия вместо одного запроса в каком-то случае присылает сразу три. И сервак бодро начинает печатать три копии большущего отчета.
И обновить не могут — у них 40 000 рабочих мест. И что делать? Правильно, вендор на коленке ночью в гостинице рисует к серверу патч (это был лично я). А потом с красными глазами и помятой рожей едет в датацентр — накатить на надцать серверов на пяти разных архитектурах. Фактически — багфиксинг вслепую мысленным лучом.
Ездили-с, знаем-с эти полиси не понаслышке ;-)
Если филиалов много — то заколебешься туда-сюда летать, это раз. Кто будет оплачивать командировку вхолостую? Это ж чистейший убыток, все равно придется лететь еще раз и уже другой бригаде.
Кроме того, не забывайте простой факт — в контракте если написано «запустить к 15му» то значит надо запустить к 15му, а то выданный вендору вагон с баблом бодренько начинает ехать в обратном направлении. Штрафные санкции то се. Это — два.
И большого босса очень мало беспокоят проблемы паранойи админа в каком-нибудь таежном улусе, это три. Ты ж инженер? Возьми отвертку и наведи порядок ;-)
Кроме шуток, филиал без новой версии с головной конторой работать не сможет. И кто будет оплачивать простой? Местный параноик? Ему лет пять вкалывать надо, чтобы три дня простоя компенсировать.
Отвечать будет вендор и потом долго и нудно доказывать не пойми что не пойми кому. Пробовали бухам доказать мелкую техническую деталь, из-за которой вдруг убыток со многими нулями? Попробуйте, только валерьянки купите сразу с полведра, квест еще тот. А уж если это бухи чужой конторы? Которые ваши штрафы себе в плюс уже вписали? То-то.
Вот поэтому — ездили с эксплойтами и отвертками. И регулярно этот «ремнабор» обновляли, потому как никогда не угадать — где у местных завихрение и шизофрения, где паранойя, а где админ умную книжку прочитал.
А вы говорите — полиси.
А бывало еще веселее — вот у большой конторы стоит уникальная кастомная сборка интернет експлойтера. И вот именно эта версия вместо одного запроса в каком-то случае присылает сразу три. И сервак бодро начинает печатать три копии большущего отчета.
И обновить не могут — у них 40 000 рабочих мест. И что делать? Правильно, вендор на коленке ночью в гостинице рисует к серверу патч (это был лично я). А потом с красными глазами и помятой рожей едет в датацентр — накатить на надцать серверов на пяти разных архитектурах. Фактически — багфиксинг вслепую мысленным лучом.
Ездили-с, знаем-с эти полиси не понаслышке ;-)
Я бы не работал в конторе, которая не умеет объяснять кастомерам, как работает продаваемый софт, какие риски, и что может помешать нам делать свою работу. И не работаю, как видно из моего профиля. 40000 рабочих мест для нашей компании кажутся смешным детским садом. Не для того ли доменный контроллер и корпоративный сервер установки софта с групповыми политиками, что бы такое количество машин обновлять? Ах да, у вас же UAC отключен, вместе со всем этим «ненужным барахлом».
Я не работаю в, я работаю с. И с вашей лавкой тоже работал, да. Ничего приятного не вспоминается, уж простите.
Не, я не говорю что у нас все идеально. Но речь не о том, о чем вы подумали, речь идет о Software Division, т.е. тоже софтового вендора. Так вот, у нас никогда не ставились такие дебильные задачи, как то «запустить к 15му». Если есть реальные препятствия со стороны кастомера, которые мешают «запустить к 15му» — то такие проблемы решаются на уровне руководства между компаниями, а не инжинером с отверткой на коленке в гостинице ночью. Может у нас просто менеджмент нормальный?
не забывайте простой факт — в контракте если написано «запустить к 15му» то значит надо запустить к 15му
То есть инженер, который провел первоначальное исследование вопроса, идиот, и в вашей конторе все делается через одно место. Иначе никто не подписался бы под такими сроками — без уверенности, что никаких серьезных граблей по дороге не возникнет.
Ну а того, кто без ведома ответственных лиц заказчика бьет по его продуктивным серверам боевыми эксплоитами, следует выгонять ссаными тряпками с волчьим билетом.
Подпишусь.
Именно так пишут в умных книжках? Про инженера который провел начальное исследование?
Я имею сказать вам что в жизни делается не так.
* * *
Сначала, выясняется что некая большая лавка регулярно теряет многабабла (Ц). То ли у нее чрезмерно много экселей, то ли индусы графики рисовать не успевают — не суть. Но местная наколенная поделка не справляется уже пару лет как. А привлечение ребят с Бангалора только еще больше факапит дедлайны.
И вот тут у большой лавки есть два пути. Первый — это через кучу отделов протягивать закупку (или разработку) нового решения под сегоднящние реалии. Занимает это несколько лет, много нервов и много политики. И когда наконец все согласуют — сегодняшние реалии станут позавчерашними, хе-хе.
А есть второй путь. Большой босс соответствующего дивижена, где уже выложили слово «счастье» из 4х букв, сокращает индусов и на эти средства закупает решение под ключ у такого мелкого вендора как я.
И вот мелкая лавка регулярно по требованию клиента отгружает им новые версии своего софта по всей Европе.
Но!
Не забываем, что вендор вообще появился с черного хода, в обход всех и всяческих отделов секуритей, айти, девелопупментов и прочих суппортов. И каждый из этих отделов не поучаствовал в распилах и откатах.
И вот задача вендора раз в три месяца (или полгода, или раз в месяц — зависит от) планово обновлять софт в туче мест, многие из которых труднодоступны. А сервера и вся инфраструктура как раз и управляется местными админами. Которые — сюрприз! совершенно не заинтересованы в успехах соседнего отдела. А вот в очередном факапе — очень даже да.
И вот именно в такую враждебную среду приезжаю я делать то за что мне заплатили — внедряю то что несколько раньше по их же заказу написал.
Оценили момент?
Те кто вредят своими полисями и прочей макулатурой, НЕ относятся к тем кто будет этот софт пользовать и обслуживать. Классические собаки на сене, которым за счастье прикрыться бумажкой и хихикать потом под лестницей. И управы на них нет — это другие отделы и у них свои топ-топы, которые к нам в общем нейтральны, но и только.
Так что уж извините — но тратить полгода на объекте чтобы нерадивого балбеса с бумажкой выгнать я просто физически не могу. (Хотя удавалось и не раз)
Проще взять отвертку.
* * *
Хорошо что есть амазоны да рэкспейсы, с серверами стало намного проще. Ездить стало не надо. А лет 15ть назад — регулярно.
Я имею сказать вам что в жизни делается не так.
* * *
Сначала, выясняется что некая большая лавка регулярно теряет многабабла (Ц). То ли у нее чрезмерно много экселей, то ли индусы графики рисовать не успевают — не суть. Но местная наколенная поделка не справляется уже пару лет как. А привлечение ребят с Бангалора только еще больше факапит дедлайны.
И вот тут у большой лавки есть два пути. Первый — это через кучу отделов протягивать закупку (или разработку) нового решения под сегоднящние реалии. Занимает это несколько лет, много нервов и много политики. И когда наконец все согласуют — сегодняшние реалии станут позавчерашними, хе-хе.
А есть второй путь. Большой босс соответствующего дивижена, где уже выложили слово «счастье» из 4х букв, сокращает индусов и на эти средства закупает решение под ключ у такого мелкого вендора как я.
И вот мелкая лавка регулярно по требованию клиента отгружает им новые версии своего софта по всей Европе.
Но!
Не забываем, что вендор вообще появился с черного хода, в обход всех и всяческих отделов секуритей, айти, девелопупментов и прочих суппортов. И каждый из этих отделов не поучаствовал в распилах и откатах.
И вот задача вендора раз в три месяца (или полгода, или раз в месяц — зависит от) планово обновлять софт в туче мест, многие из которых труднодоступны. А сервера и вся инфраструктура как раз и управляется местными админами. Которые — сюрприз! совершенно не заинтересованы в успехах соседнего отдела. А вот в очередном факапе — очень даже да.
И вот именно в такую враждебную среду приезжаю я делать то за что мне заплатили — внедряю то что несколько раньше по их же заказу написал.
Оценили момент?
Те кто вредят своими полисями и прочей макулатурой, НЕ относятся к тем кто будет этот софт пользовать и обслуживать. Классические собаки на сене, которым за счастье прикрыться бумажкой и хихикать потом под лестницей. И управы на них нет — это другие отделы и у них свои топ-топы, которые к нам в общем нейтральны, но и только.
Так что уж извините — но тратить полгода на объекте чтобы нерадивого балбеса с бумажкой выгнать я просто физически не могу. (Хотя удавалось и не раз)
Проще взять отвертку.
* * *
Хорошо что есть амазоны да рэкспейсы, с серверами стало намного проще. Ездить стало не надо. А лет 15ть назад — регулярно.
Я имею сказать вам что в жизни делается не так.
Вы так говорите, будто я никогда не участвовал в похожих проектах со стороны заказчика…
вендор вообще появился с черного хода, в обход всех и всяческих отделов секуритей, айти, девелопупментов и прочих суппортов
Чушь. Подобные вещи вторым делом согластвываются с IT, IT Sec, физбезопасностью и прочими заинтересованными направлениями.
А сервера и вся инфраструктура как раз и управляется местными админами
Шарашкины конторы? Сочувствую. Обычно управление инфраструктурой консолидируется. «Местные админы» — слишком дорого и некачественно.
И управы на них нет
Как это нет? Сообщить бизнес-заказчику, что проект застопорился в ожидании решения со стороны такого-то подразделения. В договоре, соответственно, предусмотреть передвижение сроков в случае проволочек со стороны заказчика.
Проще взять отвертку.
Если бы вы работали с нами, то вы больше никуда устроиться не смогли бы.
> Если бы вы работали с нами, то вы больше никуда устроиться не смогли бы.
(смеется) Так ведь работал.
> Подобные вещи вторым делом согластвываются с IT
Ага, ага. Поэтому (из свежачка) чтобы на сервер клиента залить апдейт — приходится в старбакс за угол ходить к фришному хотспоту. Ха ха.
> Шарашкины конторы?
Да, совсем мелкие такие лавки, с миллиардными оборотами.
> Сообщить бизнес-заказчику, что проект застопорился в ожидании решения со стороны такого-то подразделения
… которое будет через полгода. А за полгода к примеру сейлы не смогут продать ни одного нового контракта. Сервак-то лежит. И обновить его «ждем согласований». Отличное решение, браво. Зато бумажка не нарушена.
Это ж динозавры, если им хвост откусить — дойдет до головы как раз через два квартала.
Сейчас проще — сервак ставится вне зоны их кривых рук в амазоне, а полтинник в месяц прибавляется к счету на суппорт. И все в порядке. Местный айти играет в бирюльки, а клиент решает свои задачи.
Правда внезапно (ТМ) ключевые сервисы их бизнеса оказываются не под их контролем — зато полиси не страдает.
(смеется) Так ведь работал.
> Подобные вещи вторым делом согластвываются с IT
Ага, ага. Поэтому (из свежачка) чтобы на сервер клиента залить апдейт — приходится в старбакс за угол ходить к фришному хотспоту. Ха ха.
> Шарашкины конторы?
Да, совсем мелкие такие лавки, с миллиардными оборотами.
> Сообщить бизнес-заказчику, что проект застопорился в ожидании решения со стороны такого-то подразделения
… которое будет через полгода. А за полгода к примеру сейлы не смогут продать ни одного нового контракта. Сервак-то лежит. И обновить его «ждем согласований». Отличное решение, браво. Зато бумажка не нарушена.
Это ж динозавры, если им хвост откусить — дойдет до головы как раз через два квартала.
Сейчас проще — сервак ставится вне зоны их кривых рук в амазоне, а полтинник в месяц прибавляется к счету на суппорт. И все в порядке. Местный айти играет в бирюльки, а клиент решает свои задачи.
Правда внезапно (ТМ) ключевые сервисы их бизнеса оказываются не под их контролем — зато полиси не страдает.
Так ведь работал.
Вот я и удивляюсь, почему вас с таким подходом не вышибают.
Поэтому (из свежачка) чтобы на сервер клиента залить апдейт — приходится в старбакс за угол ходить к фришному хотспоту.
А почему?
А за полгода к примеру сейлы не смогут продать ни одного нового контракта
А это — ваша проблема? Это дает вам право ломать продуктивную инфраструктуру, которая вполне себе работает?
На случай «сервак лежит» всегда оговаривается удаленный доступ, это не проблема.
Сейчас проще — сервак ставится вне зоны их кривых рук в амазоне
Опять же — клиент, который готов разместить важный ресурс за пределами своей досягаемости, является шарашкиной конторой.
> Вот я и удивляюсь, почему вас с таким подходом не вышибают
Элементарно — у меня работает и задачи клиента решает. А то что я себе изредка позволяю плюнуть на замшелые бумажки — ну так кому до этого есть дело, кроме пенсионеров с вахтерским синдромом?
>> Поэтому (из свежачка) чтобы на сервер клиента залить апдейт — приходится в старбакс за угол ходить к фришному хотспоту.
> А почему?
Потому что в большой конторе дают такой guest account на местный корпоративный вайфай, что в нем есть только хттп. Секурити. А виндовый rdp через хттп-шные туннели ходит плохо. Если везет — то просто подтаскиваю ноут к окошку, если нет — приходится перебираться в старбакс и под кофе. Так быстрее.
>> А за полгода к примеру сейлы не смогут продать ни одного нового контракта
> А это — ваша проблема?
А кому я нужен если я вместо решения проблем их создаю? Для этого есть сейлы межделмаша, нет результата — вагон с баблом едет к ним. Буду в бумажки играть — быстро вылечу.
> Это дает вам право ломать продуктивную инфраструктуру, которая вполне себе работает?
Как оно «работает» — известно, куча дыр. За что толпа дармоедов зряплату получает — непонятно ;-)
И потом, кому нужна «работающая инфраструктура» которая не работает, а местный айти отдел воротит что хочет?
Представьте себе сантехника, который стояк заклепал «в целях безопасности», выдал ведро и на рулоне даже инструкцию нарисовал, во дела. А среди местных админов — пруд пруди таких героев. Зато полисей и инструкций запасено — слона в них похоронить можно.
Это ж даже не тупость, это саботаж — приехал вендор, вежливо просит дать доступ. Не хочешь пароль давать — зайди сам, сядь рядом, записывай все что делаю. А вместо этого «а у нас инструкция». И ведь готов месяцами за нее держаться — это ж большая редкость, когда увольняют саботажника за выполнение замшелой инструкции ;-)
Теперь такие фрукты редкость, а лет 15 назад их был каждый второй.
Элементарно — у меня работает и задачи клиента решает. А то что я себе изредка позволяю плюнуть на замшелые бумажки — ну так кому до этого есть дело, кроме пенсионеров с вахтерским синдромом?
>> Поэтому (из свежачка) чтобы на сервер клиента залить апдейт — приходится в старбакс за угол ходить к фришному хотспоту.
> А почему?
Потому что в большой конторе дают такой guest account на местный корпоративный вайфай, что в нем есть только хттп. Секурити. А виндовый rdp через хттп-шные туннели ходит плохо. Если везет — то просто подтаскиваю ноут к окошку, если нет — приходится перебираться в старбакс и под кофе. Так быстрее.
>> А за полгода к примеру сейлы не смогут продать ни одного нового контракта
> А это — ваша проблема?
А кому я нужен если я вместо решения проблем их создаю? Для этого есть сейлы межделмаша, нет результата — вагон с баблом едет к ним. Буду в бумажки играть — быстро вылечу.
> Это дает вам право ломать продуктивную инфраструктуру, которая вполне себе работает?
Как оно «работает» — известно, куча дыр. За что толпа дармоедов зряплату получает — непонятно ;-)
И потом, кому нужна «работающая инфраструктура» которая не работает, а местный айти отдел воротит что хочет?
Представьте себе сантехника, который стояк заклепал «в целях безопасности», выдал ведро и на рулоне даже инструкцию нарисовал, во дела. А среди местных админов — пруд пруди таких героев. Зато полисей и инструкций запасено — слона в них похоронить можно.
Это ж даже не тупость, это саботаж — приехал вендор, вежливо просит дать доступ. Не хочешь пароль давать — зайди сам, сядь рядом, записывай все что делаю. А вместо этого «а у нас инструкция». И ведь готов месяцами за нее держаться — это ж большая редкость, когда увольняют саботажника за выполнение замшелой инструкции ;-)
Теперь такие фрукты редкость, а лет 15 назад их был каждый второй.
Элементарно — у меня работает и задачи клиента решает.
Очень странно, что работает. С вашей квалификацией работать оно не должно.
в большой конторе дают такой guest account на местный корпоративный вайфай
В больших конторах можно вполне гибко управлять доступом для вайфай клиентов…
А кому я нужен если я вместо решения проблем их создаю?
Разве? Следуя заведенным процедурам? Странно, обычно бывает наоборот.
И потом, кому нужна «работающая инфраструктура» которая не работает, а местный айти отдел воротит что хочет?
Опять же, вопрос к шарашкиным конторам на полсотни человек.
Это ж даже не тупость, это саботаж — приехал вендор, вежливо просит дать доступ.
Да, в мелких компаниях вы можете выпрашивать доступ у «админов». В крупных доступ будут выдавать вам, сразу, по инициированному бизнесом (а не вами) запросу. То, что вы ни разу не сталкивались с крупными (только врать не надо, это очень заметно) — ваша проблема.
> Очень странно, что работает. С вашей квалификацией работать оно не должно.
Похвастайтесь своим списком побед, чего уж там.
Заодно расскажите про «инициированному бизнесом», покажите свою компетентность.
А я расскажу паре своих клиентов, что они некрупные. Фигня, что стоят по ярду баксов каждый, это шарашкины конторы. А, и те решения что я им поставляю — работать не должны ;-)
Похвастайтесь своим списком побед, чего уж там.
Заодно расскажите про «инициированному бизнесом», покажите свою компетентность.
А я расскажу паре своих клиентов, что они некрупные. Фигня, что стоят по ярду баксов каждый, это шарашкины конторы. А, и те решения что я им поставляю — работать не должны ;-)
Похвастайтесь своим списком побед
А смысл?
Заодно расскажите про «инициированному бизнесом»
Снова: какой смысл? Вы никогда не сталкивались с бизнес-процессами внутри крупных организаций, если для вас норма — выпрашивать пароль у местного «админа». Мне само существование местного «админа» кажется дикостью…
А я расскажу паре своих клиентов, что они некрупные. Фигня, что стоят по ярду баксов каждый
Да, конечно, я вам верю как родному :) Вы ведь уже продемонстрировали «знание» того, как они устроены. Этого вполне достаточно.
> Опять же — клиент, который готов разместить важный ресурс за пределами своей досягаемости, является шарашкиной конторой.
Или не параноик.
А кроме того — облака сейчас модно, хе-хе.
Или не параноик.
А кроме того — облака сейчас модно, хе-хе.
О, так это вы одна из потенциальных заноз в моей заднице, которая пораждает кучу проблем нашим инжинерам от кастомеров, у которых в свою очередь появляются проблемы, которые у них не должно были появляться.
Что-ж, будем знакомы.
И как, вам нравится ваша работа?
Что-ж, будем знакомы.
И как, вам нравится ваша работа?
Вы же не в шарашкиной конторе? Значит не я ;-)
Нет, но кастомеры у нас разные есть. Бывает приходит инцидент, что наш продукт не работает, или работает не так. После недели ковыряния выясняется, что проделки вот таких вот кулхацкеров, которых пустили к инфраструктуре кастомера ставить совершенно другие продукты. Они там наворачивают свои хаки, отключают UAC, и прочее.
Это точно не ко мне, я к клиентским компам клиентов вообще касательства не имею.
Да как-же, вы же тут распинаетесь, как ночью на коленке делаете патчи и носите с собой эксплоит-кит в серверную к своим кастомерам, что бы повышать себе привелегие и инсталлировать свой продукт. А после ваших чудо-хаков что-то перестает работать. Вам главное лишь бы свой продукт поставить поскорее, что бы по контракту была галочка, продукт есть, установлен, заработал.
Распинаюсь? Хех.
Всего лишь рассказываю байки у костра из своей более чем пятнадцатилетней практики. А вот еще помню случай в 96м году — пошли мы как-то на медведя с заточкой из напильника… ;-)
А вы якобы верите, что я до сих пор каждый день с пилкой для ногтей на бегемотов хожу, еще один товарищ меня обличать взялся — да ты медведя то не видел даже на картинке! Так не бывает! И заточки у тебя никогда не было! Я конечно дровишек подкидываю — смешно же.
Натурально, уже за орешками сходил.
Всего лишь рассказываю байки у костра из своей более чем пятнадцатилетней практики. А вот еще помню случай в 96м году — пошли мы как-то на медведя с заточкой из напильника… ;-)
А вы якобы верите, что я до сих пор каждый день с пилкой для ногтей на бегемотов хожу, еще один товарищ меня обличать взялся — да ты медведя то не видел даже на картинке! Так не бывает! И заточки у тебя никогда не было! Я конечно дровишек подкидываю — смешно же.
Натурально, уже за орешками сходил.
Нет-нет-нет, пардоньте. Если мы оба с вами спорим, не обязательно же об одном и том-же, верно? Я как раз полностью верю в реальность вашего опыта. Уж больно знакомые истории у вас. Не раз приходилось разгребать завалы после таких деятелей. Я категорически я не согласен с вашим подходом. Отключать UAC, ходить с эксплоитами в серверную кастомера, хвастаться что подмяли под себя секьюрити полиси кастомера пусть даже с подачи руководства этого кастомера. Простите, но здесь нечем хвастаться.
И причем тут синдром вахтера? Почему дефакто вы ставите себя умнее всех других? Почему вдруг вы решили, что знаете, почему и как было написано такое полиси, и почему оно должно соблюдаться? Вы провели последние пол года в изучении бизнес-юнита кастомера, что бы брать на себя ответственность срывать это полиси?
И причем тут синдром вахтера? Почему дефакто вы ставите себя умнее всех других? Почему вдруг вы решили, что знаете, почему и как было написано такое полиси, и почему оно должно соблюдаться? Вы провели последние пол года в изучении бизнес-юнита кастомера, что бы брать на себя ответственность срывать это полиси?
Да, мой подход многим вахтерам не нравится. Нет чтобы прогнуться, выказать уважение и полторашку пива притащить. Сразу отвертку из кармана ;-)
Только видите ли, когда слово «счастье» из четырех букв Ж, О, П, А — уже сложили (без меня), то вопрос ставится так — делай что хошь, но чтобы еще вчера.
По сути, ваши претензии — это из области «ай какой нехороший пожарный, вместо того чтобы в трех отделах завизировать и ключ получить, прицепил трос к своему пепелацу и дернул дверь посильнее. Отвалилась вместе с куском стены».
Граждане вахтеры! Я к вам подходил? Дверь открыть просил? Важность моих действий была очевидна? Так вы ребята со своими саботажниками сами разбирайтесь. И нет, сами выясняйте, почему у вас не предусмотрены действия в нештатных ситуациях. Ваш босс, который платит вам зряплату, (и мне счет подписывает) стоит рядом и мои действия одобряет, так что на ваши кислые вахтерские рожи мне плевать.
А вот когда пожар уже потушен, и критические для бизнеса процессы уже работают, вот тогда можно и поговорить о процедурах. Не до. После. Не хотите по моим расценкам стенку восстанавливать — обратитесь к кому другому, я свою задачу выполнил. ;-) И даже перевыполнил, еще и обговорив уже штатные способы обновлений!
Еще раз подчеркну — штатно работаем в штатном режиме. И аврально — в нештатном. Это две большие разницы.
А должно быть как? Фигня, что банк сгорит, зато вахтер получит удовольствие ;-) Плевать, что тот аутсорсер, которому давали задачу внедрить мега-секуритя, сьекономил (после того как на нем сьекономили значительно больше), и не прописал нештатных ситуаций в нужном количестве. Зато эти картонные стенки в головах вахтеров непрошибаемы, ведь «в инструкции» нет ;-)
Отсюда и разница.
Только видите ли, когда слово «счастье» из четырех букв Ж, О, П, А — уже сложили (без меня), то вопрос ставится так — делай что хошь, но чтобы еще вчера.
По сути, ваши претензии — это из области «ай какой нехороший пожарный, вместо того чтобы в трех отделах завизировать и ключ получить, прицепил трос к своему пепелацу и дернул дверь посильнее. Отвалилась вместе с куском стены».
Граждане вахтеры! Я к вам подходил? Дверь открыть просил? Важность моих действий была очевидна? Так вы ребята со своими саботажниками сами разбирайтесь. И нет, сами выясняйте, почему у вас не предусмотрены действия в нештатных ситуациях. Ваш босс, который платит вам зряплату, (и мне счет подписывает) стоит рядом и мои действия одобряет, так что на ваши кислые вахтерские рожи мне плевать.
А вот когда пожар уже потушен, и критические для бизнеса процессы уже работают, вот тогда можно и поговорить о процедурах. Не до. После. Не хотите по моим расценкам стенку восстанавливать — обратитесь к кому другому, я свою задачу выполнил. ;-) И даже перевыполнил, еще и обговорив уже штатные способы обновлений!
Еще раз подчеркну — штатно работаем в штатном режиме. И аврально — в нештатном. Это две большие разницы.
А должно быть как? Фигня, что банк сгорит, зато вахтер получит удовольствие ;-) Плевать, что тот аутсорсер, которому давали задачу внедрить мега-секуритя, сьекономил (после того как на нем сьекономили значительно больше), и не прописал нештатных ситуаций в нужном количестве. Зато эти картонные стенки в головах вахтеров непрошибаемы, ведь «в инструкции» нет ;-)
Отсюда и разница.
Воу воу воу, палехче. Начнем с того, что я инжинер, и никакого отношения к сисадминам не имею. Я пишу продукт, который потом, как я понимаю, такие как вы у кастомеров разворачивают.
Но хорошо, раз вы так настаиваете, давайте поговорим о вахтерах. Кто же вам ставит такие задачи, «делай что хошь, но чтобы еще вчера», вахтеры? Я думал ваше руководство. Это раз.
Два, а полиси, вы считаете, тоже эти вахтеры придумали? Если это действительно так, то увольте, вы в шаражкиной конторе. А мы тут идеализируем и размышляем, как должно быть в правильной конторе.
Третье, вам может и кажется, что полиси — это слово из четырех букв, но вы в этом уверены? Вы юрист? А что если какие-то пункты полиси существуют, что бы прикрыть задницу компании с юридической стороны, не думали? Для страховиков, например?
Про пожарного пример очень хорошо иллюстрирует ваше ЧСВ и абсолютную уверенность в том, что все что вы делаете — априори важнее любой другой работы, любых договоренностей и людей. Вы возомнили себя… кем, кстати? (Я не религиозен, потому «бог» для меня всего-лишь слово.)
Ок, босс стоит с вами рядом. А кто этот босс? Я сомневаюсь, что самый главный CEO транснациональной компании прилетит к вам в филиал и будет стоять рядом, пока вы с вахтерами разбираетесь. Вероятно, ваш босс — один из менеджеров высшего звена, который получит нехилый откат за успешное завершение контракта с вашей компанией. И не смотря на то, что он наделен властью разрешить вам выдернуть дверь с половиной стены, ему сейчас чхать на десяток других, равностоящих ему менеджеров, которые завтра проснуться и будут думать как спасти задницы свои и своих инжинеров.
Но хорошо, раз вы так настаиваете, давайте поговорим о вахтерах. Кто же вам ставит такие задачи, «делай что хошь, но чтобы еще вчера», вахтеры? Я думал ваше руководство. Это раз.
Два, а полиси, вы считаете, тоже эти вахтеры придумали? Если это действительно так, то увольте, вы в шаражкиной конторе. А мы тут идеализируем и размышляем, как должно быть в правильной конторе.
Третье, вам может и кажется, что полиси — это слово из четырех букв, но вы в этом уверены? Вы юрист? А что если какие-то пункты полиси существуют, что бы прикрыть задницу компании с юридической стороны, не думали? Для страховиков, например?
Про пожарного пример очень хорошо иллюстрирует ваше ЧСВ и абсолютную уверенность в том, что все что вы делаете — априори важнее любой другой работы, любых договоренностей и людей. Вы возомнили себя… кем, кстати? (Я не религиозен, потому «бог» для меня всего-лишь слово.)
Ок, босс стоит с вами рядом. А кто этот босс? Я сомневаюсь, что самый главный CEO транснациональной компании прилетит к вам в филиал и будет стоять рядом, пока вы с вахтерами разбираетесь. Вероятно, ваш босс — один из менеджеров высшего звена, который получит нехилый откат за успешное завершение контракта с вашей компанией. И не смотря на то, что он наделен властью разрешить вам выдернуть дверь с половиной стены, ему сейчас чхать на десяток других, равностоящих ему менеджеров, которые завтра проснуться и будут думать как спасти задницы свои и своих инжинеров.
И за что вам уважение и пиво, после всего вышесказанного? Я вот ездил после своего коллеги в головной офис как-то, и был удивлен, когда они там удивлялись, что я пиво не пью. И вообще алкоголь не употребляю. Менталитет? Почему из-за собратьев алкоголиков, алкоголиком и меня весь мир априори считает? Нация алкоголиков?
Ну я тоже этот, как его — абстинент, во. И что? Посмеяться над свежим анекдотом про пиво вполне могу. А рассказ что такое «ерш лайт» вообще на ура идет ;-)
А пиво и уважение — не мне, я в них не нуждаюсь, мне дензнаки пожалуйста.
Пиво и уважение требуют ровно те, кто сначала профукал все полимеры, потом не сумел справиться с ситуацией самостоятельно, а когда я их же и прилетел спасать — еще и рельсы в колеса совать пытаются.
Ты нас не уважаешь! Что ты себе возомнил! Ты плюнул на нашу бумажку! А еще ты позвал нашего босса и он нас вздрючил! ;-)
Ну конечно — это я виноват, что не ознакомился заранее «за полгодика» (Ц) снова ваше со всеми нюансами договоренностей в архисурьезной лавке. И вместо пинания бирюлек почему-то сразу потребовал доступ, позвал босса, и приступил к работе. А поговорить? (Ц)
А пиво и уважение — не мне, я в них не нуждаюсь, мне дензнаки пожалуйста.
Пиво и уважение требуют ровно те, кто сначала профукал все полимеры, потом не сумел справиться с ситуацией самостоятельно, а когда я их же и прилетел спасать — еще и рельсы в колеса совать пытаются.
Ты нас не уважаешь! Что ты себе возомнил! Ты плюнул на нашу бумажку! А еще ты позвал нашего босса и он нас вздрючил! ;-)
Ну конечно — это я виноват, что не ознакомился заранее «за полгодика» (Ц) снова ваше со всеми нюансами договоренностей в архисурьезной лавке. И вместо пинания бирюлек почему-то сразу потребовал доступ, позвал босса, и приступил к работе. А поговорить? (Ц)
Не, неверно понимаете. Я человек — оркестр, сам пишу и сам разворачиваю ;-) Не один, понятно, но смысл именно такой.
Слово из 4х букв - это общая ситуация, после которой требуется мое присутствие. Пока не наступила, мирно работаем по плану. Чтим полися. А вот когда оно навернулось и пошли убытки в шестизначных суммах — вот тогда я хватаю свой чемоданчик с ноутом и зубной щеткой и галопом по пересеченной местности мчусь в еропорт.
С этого момента у нас ЧП, режим мирного времени не действует. И предписания мирного времени — тоже. И попытки мешать спасательной операции патамушта бамажки не велят — это саботаж и вредительство.
Когда вас приедет спасатель вынимать из горящего офиса, не забудьте поинтересоваться всеми отметками с проходной, ага. А то вдруг он через окно влез, гад такой. И главное, когда ему указывают на недопустимость влезания в окно — посылает к топ-топам, гад такой. Этим он «показывает свое ЧСВ», "считает свою деятельность априори важнее любой другой работы, любых договоренностей" (Ц) ваше, и вообще возомнил себя неизвестно кем.
Если местный СЕО (бывает и так) стоит рядом, вахтеров нет, есть их начальники. И когда выяснилось однажды уже в машзале, что апдейт можно только на дискетку записать, то начальники очень бодро организовали флопинет. Несмотря на то, что в полиси прямо указано, что непроверенные апдейты на боевой сервак ставить нельзя. И вообще меня в машзал пускать нельзя. Особенно с ноутом. Но режим ЧП есть режим ЧП. В обычное время стенки тоже ломать нельзя, но бывает что — надо.
Про какие-то договоренности порадовало особо. А мне-то что до местных политесов? Я — вендор, о местных терках и попилах могу и не знать. Вот стоит рядом ваш биг босс, с ним и решайте ваши договоренности. А я тут при чем? Предложил стенку сломать, местные топ-топы согласились, я что-ли должен искать — чья это стенка? ;-)
Чтобы было понимание, просто так я стенки не ломаю, это ж не мои стенки. Хотят еще неделю профукать — их выбор, не мой. Только вот какое дело — почему-то «можно быстро стенку сломать» местным нравится гораздо больше, чем «давайте я в гостинице еще недельку потусуюсь за ваш счет, пока вы все подписи соберете».
И тем более мне нет никакого дела до чьих-то задниц (фу!), особенно когда выясняется, что из них руки торчат и именно эти руки режим из 4х букв и устроили. ;-) Не лезли бы куда не надо — я бы и дальше попивал свой сок в кондиционированном офисе, и думал о том как продукт сделать еще лучше, еще удобнее и еще функциональнее.
Слово из 4х букв - это общая ситуация, после которой требуется мое присутствие. Пока не наступила, мирно работаем по плану. Чтим полися. А вот когда оно навернулось и пошли убытки в шестизначных суммах — вот тогда я хватаю свой чемоданчик с ноутом и зубной щеткой и галопом по пересеченной местности мчусь в еропорт.
С этого момента у нас ЧП, режим мирного времени не действует. И предписания мирного времени — тоже. И попытки мешать спасательной операции патамушта бамажки не велят — это саботаж и вредительство.
Когда вас приедет спасатель вынимать из горящего офиса, не забудьте поинтересоваться всеми отметками с проходной, ага. А то вдруг он через окно влез, гад такой. И главное, когда ему указывают на недопустимость влезания в окно — посылает к топ-топам, гад такой. Этим он «показывает свое ЧСВ», "считает свою деятельность априори важнее любой другой работы, любых договоренностей" (Ц) ваше, и вообще возомнил себя неизвестно кем.
Если местный СЕО (бывает и так) стоит рядом, вахтеров нет, есть их начальники. И когда выяснилось однажды уже в машзале, что апдейт можно только на дискетку записать, то начальники очень бодро организовали флопинет. Несмотря на то, что в полиси прямо указано, что непроверенные апдейты на боевой сервак ставить нельзя. И вообще меня в машзал пускать нельзя. Особенно с ноутом. Но режим ЧП есть режим ЧП. В обычное время стенки тоже ломать нельзя, но бывает что — надо.
Про какие-то договоренности порадовало особо. А мне-то что до местных политесов? Я — вендор, о местных терках и попилах могу и не знать. Вот стоит рядом ваш биг босс, с ним и решайте ваши договоренности. А я тут при чем? Предложил стенку сломать, местные топ-топы согласились, я что-ли должен искать — чья это стенка? ;-)
Чтобы было понимание, просто так я стенки не ломаю, это ж не мои стенки. Хотят еще неделю профукать — их выбор, не мой. Только вот какое дело — почему-то «можно быстро стенку сломать» местным нравится гораздо больше, чем «давайте я в гостинице еще недельку потусуюсь за ваш счет, пока вы все подписи соберете».
И тем более мне нет никакого дела до чьих-то задниц (фу!), особенно когда выясняется, что из них руки торчат и именно эти руки режим из 4х букв и устроили. ;-) Не лезли бы куда не надо — я бы и дальше попивал свой сок в кондиционированном офисе, и думал о том как продукт сделать еще лучше, еще удобнее и еще функциональнее.
Отлично, поздравляю. Вы оправдали в моих глазах частный случай использования вашего чемоданчика. Тем не менее все еще остаются висящими в воздухе ваши жалобы на постоянную необходимость использования чемоданчика. Хотя, меня это особо не интересует, видимо с такими кастомерами вам чаще приходится работать. Меня больше интересует, как этим всем вы объясняете необходимость по дефолту на предустановленной серверной ОС ставить в доверенные любой не HTTPS адрес в глобальной сети (в том числе и сам *.microsoft.com)?
Вы снова приписываете мне охоту на бегемотов с пилкой для ногтей. Бывает всякое — но это не значит что а) это еще актуально и б) регулярно ;-)
Было бы актуально — я бы не рассказывал.
Было бы актуально — я бы не рассказывал.
насколько я понял viklequick — он «СОБР», потому и «чемоданчик» у него в изголовье постоянно собранный :)
О, кольцо дискуссии замкнулось! Вы таки вернусь к microsoft.com! :D
А насчет «не-хттпс» очень просто. Это обыкновенная имитация безопасности. Безвредная. Но — пустышка. Только и всего. Почему — я тут вкратце пытался намекнуть поборникам вахтерского синдрома.
Проверяется очень просто — от какого типа атак спасает эта настройка? Насколько вероятна такая атака на сервак в облаке? Каковы будут убытки в случае успешной атаки?
Типичные ответы «от фишинга, невероятно, стоимость перезапуска инстанса с чистого образа (т.е. ноль)».
И? Копеешная фигня, защищающая в случае нападения марсиан незнамо что.
Не, понятно — есть случаи когда это актуально и не копеешное. Но вместо просто привести контр-пример я вижу только переливание из пустого в порожнее.
Вообще, был такой анекдот — «здравствуйте, это северокорейский вирус. У нас так плохо с айти, что не могли бы вы сами разослать меня по вашей адресной книге, и стереть файлы с диска согласно следующего списка? Спасибо за сотрудничество!»
Так вот настройки по умолчанию в типичном для меня случае выглядят как защита от этого вируса.
Проверяется очень просто — от какого типа атак спасает эта настройка? Насколько вероятна такая атака на сервак в облаке? Каковы будут убытки в случае успешной атаки?
Типичные ответы «от фишинга, невероятно, стоимость перезапуска инстанса с чистого образа (т.е. ноль)».
И? Копеешная фигня, защищающая в случае нападения марсиан незнамо что.
Не, понятно — есть случаи когда это актуально и не копеешное. Но вместо просто привести контр-пример я вижу только переливание из пустого в порожнее.
Вообще, был такой анекдот — «здравствуйте, это северокорейский вирус. У нас так плохо с айти, что не могли бы вы сами разослать меня по вашей адресной книге, и стереть файлы с диска согласно следующего списка? Спасибо за сотрудничество!»
Так вот настройки по умолчанию в типичном для меня случае выглядят как защита от этого вируса.
Настройки по умолчанию вовсе не призваны ни от чего защищать. Вы снова мыслите узко, глядя только в свою техническую тарелку. Забудьте про разницу HTTP/HTTPS, скажите лучше, с чего вообще любой, абсолютно любой адрес, не принадлежащий компании-владельцу сервера, должен находится в списке доверенных по дефолту после установки серверной ОС на этот сервер?
Скажите, может вы свежеустановленный сервер выводите интернет тоже сразу, без предварительной настройки фаерволла, групповых политик, заведения в домен? Нет? Тогда почему этот список должен быть заполнен майкрософтом по умолчанию? Кто должен регулировать этот список? А если он будет предзаполнен майкрософтом, не набегут всякие гуглы с исками в антимонопольную комиссию, потому что тоже хотят быть в списке по дефолту? Вам пора отложить чемоданчик, вылезти из серверной, и посмотреть на других людей, не только айтишников. И считаться с ихними требованиями.
Скажите, может вы свежеустановленный сервер выводите интернет тоже сразу, без предварительной настройки фаерволла, групповых политик, заведения в домен? Нет? Тогда почему этот список должен быть заполнен майкрософтом по умолчанию? Кто должен регулировать этот список? А если он будет предзаполнен майкрософтом, не набегут всякие гуглы с исками в антимонопольную комиссию, потому что тоже хотят быть в списке по дефолту? Вам пора отложить чемоданчик, вылезти из серверной, и посмотреть на других людей, не только айтишников. И считаться с ихними требованиями.
Так если они не предназначены — почему это секурити конфигурейшен? ;-) Да и смысл в них вообще тогда? Что-то вы путаетесь в показаниях.
Для начала, задумайтесь — зачем этот список нужен. Какую задачу он решает?
Кто для меня доверенный? Как минимум сайт вендора, чтобы апдейты приползали без проблем и дополнительный софт к системе можно было поставить. (См. выше про пустышку). Да и странно не доверять а) провайдеру и б) вендору, вы уже обоим занесли денег и еще занесете.
Сервер в интернете я просто беру, см. облака. Фаерволл там встроенный. В домены не завожу — нет смысла.
Не, я подскажу в чем дело, експлойтер как и многое другое у микрософт — это движок, компонент. Который можно встроить в программу Васи Пупкина. И вот уже этой программе действительно нечего делать в интернете, кроме явно разрешенных сайтов. Однако!
Не у всех циска фронт-эндом стоит или хотя бы микротик. И что делать? А вот вам список! Да, теперь гора сайд-эффектов, но бесплатного секурити не бывает. Но ведь это сегмент SOHO — только в этом случае у нас есть смолл бизнес сервер с горой софта на нем. Причем даже в его инкарнации — весьма странно используемый, вот в чем хитрость.
Тогда почему — эта трава по умолчанию? Непонятно.
И совсем непонятно — при чем тут ваши страшные ентерпрайзы.
Так что не надо мне рассказывать, что я живу в серверной, просто потрудитесь хотя бы самому себе нарисовать модель угроз, для которой эта умолчательная конфигурация имеет смысл. Нарисуете — вот тогда и будете рассказывать про ее необходимость.
А то одни мантры вслух читаете, «это не секурити, поэтому оно защищает! и кому ваще доверять? кроме собственной жены?» ;-)
Для начала, задумайтесь — зачем этот список нужен. Какую задачу он решает?
Кто для меня доверенный? Как минимум сайт вендора, чтобы апдейты приползали без проблем и дополнительный софт к системе можно было поставить. (См. выше про пустышку). Да и странно не доверять а) провайдеру и б) вендору, вы уже обоим занесли денег и еще занесете.
Сервер в интернете я просто беру, см. облака. Фаерволл там встроенный. В домены не завожу — нет смысла.
Не, я подскажу в чем дело, експлойтер как и многое другое у микрософт — это движок, компонент. Который можно встроить в программу Васи Пупкина. И вот уже этой программе действительно нечего делать в интернете, кроме явно разрешенных сайтов. Однако!
Не у всех циска фронт-эндом стоит или хотя бы микротик. И что делать? А вот вам список! Да, теперь гора сайд-эффектов, но бесплатного секурити не бывает. Но ведь это сегмент SOHO — только в этом случае у нас есть смолл бизнес сервер с горой софта на нем. Причем даже в его инкарнации — весьма странно используемый, вот в чем хитрость.
Тогда почему — эта трава по умолчанию? Непонятно.
И совсем непонятно — при чем тут ваши страшные ентерпрайзы.
Так что не надо мне рассказывать, что я живу в серверной, просто потрудитесь хотя бы самому себе нарисовать модель угроз, для которой эта умолчательная конфигурация имеет смысл. Нарисуете — вот тогда и будете рассказывать про ее необходимость.
А то одни мантры вслух читаете, «это не секурити, поэтому оно защищает! и кому ваще доверять? кроме собственной жены?» ;-)
А вот в том то и дело, что сайт вендора может быть и не доверенным, по полиси компании. У многих стоят свои апдейт-сервера, куда пропускаются только верифицированные апдейты, и все остальные сервера и рабочие машинки обновляются с этого сервера. Почему вам странно не доверять? Вдруг очередной апдейт может что-то сломать в крупной ынтырпрайз системе (и полетят шестизначные суммы вместе с головами...)?
Я потрудился самому себе нарисовать, что заходя на тот-же microsoft.com, он подгружает какой-то js каунтер с другого ресурса. А я не хочу, что бы меня где-то там считали хотом или кем-то там еще в своей статистике. Достаточный пример?
Я потрудился самому себе нарисовать, что заходя на тот-же microsoft.com, он подгружает какой-то js каунтер с другого ресурса. А я не хочу, что бы меня где-то там считали хотом или кем-то там еще в своей статистике. Достаточный пример?
> сайт вендора может быть и не доверенным, по полиси компании
Ваш тезис — вам и обосновывать (ушел за попкорном). Напомню речь идет про вендора вашей системы, вашей БД и проч.
Чтобы апдейты (которые сломают и т. д.) были верифицируемы, всего-то надо прописать адрес вашего всусь-сервера в настройках, он никак не привязан к експлойтеру. Пример мимо кассы, уж извините.
Про каунтеры на страничке — это вообще детский сад, простите за прямоту. «Он и тебя посчитал!» (Ц) известный мультфильм. Сколько денег вы потеряли от того что ваш вендор вас посчитал?
Я ведь не зря про модель угроз напоминаю. Считайте в деньгах — сразу будет видно где что.
Ваш тезис — вам и обосновывать (ушел за попкорном). Напомню речь идет про вендора вашей системы, вашей БД и проч.
Чтобы апдейты (которые сломают и т. д.) были верифицируемы, всего-то надо прописать адрес вашего всусь-сервера в настройках, он никак не привязан к експлойтеру. Пример мимо кассы, уж извините.
Про каунтеры на страничке — это вообще детский сад, простите за прямоту. «Он и тебя посчитал!» (Ц) известный мультфильм. Сколько денег вы потеряли от того что ваш вендор вас посчитал?
Я ведь не зря про модель угроз напоминаю. Считайте в деньгах — сразу будет видно где что.
Что тут обосновывать? Почему вы априори считаете, что раз юзаем систему майкрософта, значит и сайты майкрософта доверенные должны быть, и вот прям всему майкрософту доверяем? А если у нас Windows CE?
Вот, прописали мы этот наш сервер. Вопрос — зачем после этого сайт апдейтов в доверенных? Мы не доверяем ему с точки зрения конкретного сервера, этот сервер должен доверять только внутреннему серверу обновлений.
Каунтер — просто как пример. Можно представить множество политических или юридических ситуаций.
Давайте посчитаем в деньгах убытки компании, которая утверждает, что не использует M$, и вдруг оказывается, что все-таки использует. А такое бывает. К доверенным-недоверенным зонам пример конечно не относится, но вон презентационные стенды новой консоли оказалось крутились на обычном PC и виндах.
Вот, прописали мы этот наш сервер. Вопрос — зачем после этого сайт апдейтов в доверенных? Мы не доверяем ему с точки зрения конкретного сервера, этот сервер должен доверять только внутреннему серверу обновлений.
Каунтер — просто как пример. Можно представить множество политических или юридических ситуаций.
Давайте посчитаем в деньгах убытки компании, которая утверждает, что не использует M$, и вдруг оказывается, что все-таки использует. А такое бывает. К доверенным-недоверенным зонам пример конечно не относится, но вон презентационные стенды новой консоли оказалось крутились на обычном PC и виндах.
Ну вот и мне тоже интересно.
Смешно же. Когда вы идете на сайт вендора? Когда у вас с софтом этого вендора проблемы. И вам что-то от этого вендора надо. Патч там или инструкцию, по ситуации. И что? Именно в этот момент вы этому сайту вендора не доверяете? Это шизофрения — левое полушарие правому не доверяет.
Или вы на сайт производителя вашей операционки, вашего офиса, вашего мобильника, вашей БД, вашей бухгалтерии, вашей игровой консоли — анекдоты там ходите почитать? Полноте.
Уже в треде придумали — что врагипод кроватью сидят у вашего провайдера, что в интернете злые звери в темном лесу (показать их правда отказались), что бывают такие приборы, но мы вам их не покажем вот у 0.001% действительно это имеет смысл, но примеров ни у кого нет, и прочая.
Вот все жду хотя бы одной стОящей причины такого недоверия. Пока что — ноль на массу.
Зачем так сделано (с моей точки зрения) я как раз обосновал. Вместо вас, замечу.
И в моем случае все логично, нет ни паранойи (за мной следят!) ни шизофрении (я пользуюсь потому что не доверяю). Всего лишь ориентация на другой сектор.
Большая контора имеет штат специалистов, они настроят и сами. А мелкая — ресурсов не имеет, датацентров у нее нет и даже трафик часто лимитированный (сервер в гараже и т. д). Тут все логично — помогаем именно лавке из пяти лиц сэкономить им деньги. Заодно этот сервер меньше как рабочее место будут использовать.
Всего лишь.
А не придуманная вами попытка микрософта (уже смешно) помочь пиратам(!) скрыть тот факт что они пользуются продукцией микрософт(!!!).
Ближе к жизни ;-)
Смешно же. Когда вы идете на сайт вендора? Когда у вас с софтом этого вендора проблемы. И вам что-то от этого вендора надо. Патч там или инструкцию, по ситуации. И что? Именно в этот момент вы этому сайту вендора не доверяете? Это шизофрения — левое полушарие правому не доверяет.
Или вы на сайт производителя вашей операционки, вашего офиса, вашего мобильника, вашей БД, вашей бухгалтерии, вашей игровой консоли — анекдоты там ходите почитать? Полноте.
Уже в треде придумали — что враги
Вот все жду хотя бы одной стОящей причины такого недоверия. Пока что — ноль на массу.
Зачем так сделано (с моей точки зрения) я как раз обосновал. Вместо вас, замечу.
И в моем случае все логично, нет ни паранойи (за мной следят!) ни шизофрении (я пользуюсь потому что не доверяю). Всего лишь ориентация на другой сектор.
Большая контора имеет штат специалистов, они настроят и сами. А мелкая — ресурсов не имеет, датацентров у нее нет и даже трафик часто лимитированный (сервер в гараже и т. д). Тут все логично — помогаем именно лавке из пяти лиц сэкономить им деньги. Заодно этот сервер меньше как рабочее место будут использовать.
Всего лишь.
А не придуманная вами попытка микрософта (уже смешно) помочь пиратам(!) скрыть тот факт что они пользуются продукцией микрософт(!!!).
Ближе к жизни ;-)
Когда вы идете на сайт вендора?
С сервера? Дайте подумать… А, вспомнил — никогда!
Уже в треде придумали — что враги сидят у вашего провайдера
Ну например вы готовы осуществлять свои личные финансовые транзакции (включающие номер банковской карты, CVC код, фамилию-имя) по незашифрованному каналу? Да или нет?
Зачем так сделано (с моей точки зрения) я как раз обосновал.
Нет. Вы выставляете себя идиотом, утверждая, что браузить интернет со сферического в вакууме сервера — нормально.
Заодно этот сервер меньше как рабочее место будут использовать.
Так что мешает изменить одну настройку? Опять же — вы не можете пройти встроенный IQ тест?
>> Когда вы идете на сайт вендора?
> С сервера? Дайте подумать… А, вспомнил — никогда!
Это при засилии микрософтовских веб-инсталлеров? Ага, ага.
>> Ну например вы готовы осуществлять свои личные финансовые транзакции
При покупке офиса я могу его купить прямо с сервера. Нет проблем. А вот скачать — нет. Еще вопросы не по теме будут, или мне просто подождать обещанных вами злых зверей в темном лесу? ;-)
Или вы таки хотели сказать, что сливать апдейты на сервере прямо с этого сервера ни-ни, надо вынуть клавиатуру и бечь к соседнему серверу, чтобы скачать апдейт для болеющего? Гениально. В серверной-то только сервера, там рабочего места админа нету.
(Достает сок и пирожные, усаживается поудобнее перед монитором) Ну-сс, щас нас научат опции выбирать. Вопрос был правда — а нафига оно по умолчанию, но про зверей я тоже готов послушать.
> С сервера? Дайте подумать… А, вспомнил — никогда!
Это при засилии микрософтовских веб-инсталлеров? Ага, ага.
>> Ну например вы готовы осуществлять свои личные финансовые транзакции
При покупке офиса я могу его купить прямо с сервера. Нет проблем. А вот скачать — нет. Еще вопросы не по теме будут, или мне просто подождать обещанных вами злых зверей в темном лесу? ;-)
Или вы таки хотели сказать, что сливать апдейты на сервере прямо с этого сервера ни-ни, надо вынуть клавиатуру и бечь к соседнему серверу, чтобы скачать апдейт для болеющего? Гениально. В серверной-то только сервера, там рабочего места админа нету.
(Достает сок и пирожные, усаживается поудобнее перед монитором) Ну-сс, щас нас научат опции выбирать. Вопрос был правда — а нафига оно по умолчанию, но про зверей я тоже готов послушать.
Это при засилии микрософтовских веб-инсталлеров?
Каких? Вы, надеюсь, не про directx, flash, java и т.д.?
При покупке офиса я могу его купить прямо с сервера.
Что мелочиться? Можно поставить на сервер «два ядра, два гига и игровую видеокарту» и запускать игрушки. Можно биткойн майнеры запустить. Это же нормально, все так делают :)
А вот скачать — нет.
Почему нет? Что мешает? И вы упорно игнорируете вопрос «вы всегда во всех приложениях и ОС задействуете дефолтные настройки?».
В серверной-то только сервера, там рабочего места админа нету.
Внимание, вопрос. Какого черта «админ» вообще забыл в серверной, если задача отличается от «тягать железо»? Вам нравится контраст прохлады и жара? Или в обслуживаемых вами шарашках не приняты IP KVM, не говоря уже о таких магических инструментах, как RDP?
А вообще, если апдейт понадобился одному серверу, то он наверняка понадобится и другому. На всусе скачать, на препроде обкатать, на больных накатить. Все стандартно. Или вы сходу без теста ставите апдейты сразу на прод? Отличный способ осуществить контрольный в голову больному.
Вопрос был правда — а нафига оно по умолчанию
Может, потому что серверу вообще не надо браузить интернет?
Хотя да, у MS странная логика. Оболочка IE, которой все равно никто (ну ладно — кроме вас) не пользуется (тем более для скачки других браузеров), установлена. Зато клиент telnet, используемый всеми исключительно для траблшутинга, надо отдельно ставить.
>> Это при засилии микрософтовских веб-инсталлеров?
> Каких? Вы, надеюсь, не про directx, flash, java и т.д.?
Про дотнет, IIS, и прочие эмвэцэ с ентитями. И жава тоже, да. Чай эпоха новелевой нетвари 3.12 закончилась давным — давно, и сервер ныне не файлы раздает, а сервисы. А вы с вашими коллегами про какие-то домены вспоминаете и шары файловые. Ребята, это архаика! Пора вылезать из музея.
> Внимание, вопрос. Какого черта «админ» вообще забыл в серверной
Вы бы ему быстро подсказали, как полноценно в гамаке на лыжах.
> IP KVM
Кстати, рекомендую воспользоваться, впечатлений будет масса. Заодно перестанете советовать использовать такое для доступа к соседней комнате, применение на практике очень отрезвляет. Мне хватило в свое время, когда у хостера мой сервер стал ребутаться по пять раз на дню.
> А вообще, если апдейт понадобился одному серверу, то он наверняка понадобится и другому
Ага, у вас же все сервера закупаются одновременно и одинаковой комплектации. Сгорает один — меняете все, это ж очевидно. Поэтому патчи на всех одинаковые, да?
> Может, потому что серверу вообще не надо браузить интернет?
Именно поэтому там в комплекте интернет експлойтер. Да?
> Почему нет? Что мешает?
Мешает — ваша самонадеянность, я боюсь что по другому вы не поймете. Неоднократно пытался до вас достучаться, но похоже хамство — ваше второе «я». Видимо недавно сданный вами тест на IQ вам мешает читать то что я пишу.
> Каких? Вы, надеюсь, не про directx, flash, java и т.д.?
Про дотнет, IIS, и прочие эмвэцэ с ентитями. И жава тоже, да. Чай эпоха новелевой нетвари 3.12 закончилась давным — давно, и сервер ныне не файлы раздает, а сервисы. А вы с вашими коллегами про какие-то домены вспоминаете и шары файловые. Ребята, это архаика! Пора вылезать из музея.
> Внимание, вопрос. Какого черта «админ» вообще забыл в серверной
Вы бы ему быстро подсказали, как полноценно в гамаке на лыжах.
> IP KVM
Кстати, рекомендую воспользоваться, впечатлений будет масса. Заодно перестанете советовать использовать такое для доступа к соседней комнате, применение на практике очень отрезвляет. Мне хватило в свое время, когда у хостера мой сервер стал ребутаться по пять раз на дню.
> А вообще, если апдейт понадобился одному серверу, то он наверняка понадобится и другому
Ага, у вас же все сервера закупаются одновременно и одинаковой комплектации. Сгорает один — меняете все, это ж очевидно. Поэтому патчи на всех одинаковые, да?
> Может, потому что серверу вообще не надо браузить интернет?
Именно поэтому там в комплекте интернет експлойтер. Да?
> Почему нет? Что мешает?
Мешает — ваша самонадеянность, я боюсь что по другому вы не поймете. Неоднократно пытался до вас достучаться, но похоже хамство — ваше второе «я». Видимо недавно сданный вами тест на IQ вам мешает читать то что я пишу.
Про дотнет, IIS, и прочие эмвэцэ с ентитями.
Дотнет подтягивается с апдейтами, IIS — роль.
И жава тоже, да.
Как мило. Очень жаль, что «информационная безопасность» для вас примерно как квантовая механика для меня. Название знакомое, какие-то обрывки знаете, но не более того.
Вы бы ему быстро подсказали, как полноценно в гамаке на лыжах.
Поясните. Мне казалось, что «в гамаке на лыжах» = «в машзале с ноутбуком под выхлопом реактивных двигателей или в морозильнике».
Кстати, рекомендую воспользоваться, впечатлений будет масса.
Спасибо, изредка пользуюсь. Коллеги, администрирующие серверную инфраструктуру, пользуются постоянно, а те сервера они никогда вживую не видят (включая первоначальную установку в стойку или корзину). В конце концов, KVM нужен, чтобы организовать RDP, ssh или что угодно другое родное ОС. Пользоваться им для штатного администрирования не менее глупо, чем осуществлять это штатное администрирование из машзала.
у вас же все сервера закупаются одновременно и одинаковой комплектации.
Вы не поверите…
И как ни странно, это — совершенно обычная практика в любой более-менее крупной конторе. Две-три модели на каждое поколение — и закупка десятков/сотен представителей модели. Поколения меняются редко. Так ведь проще.
Но вообще говоря, вы часто сталкивались с ситуациями «апдейт ОС или софта требуется из-за особенностей железа»?
Именно поэтому там в комплекте интернет експлойтер. Да?
Я и говорю — оболочка IE есть, клиента телнета нет. Да, MS странные. Оставить то, что никому не нужно, но выпилить то, что может внезапно пригодиться.
Мешает — ваша самонадеянность
Серьезно? А может, отсутствие у вас малейшего опыта в тех вещах, о которых вы очень убежденно рассказываете? У меня складывается ощущение, что вы просто пересказываете слова более опытного (тоже аникейщика) знакомого.
Видимо недавно сданный вами тест на IQ
Странное утверждение. Почему вы так думаете? Я вот честно не вижу ни одной другой причины, по которой у вас не получается дважды кликнуть мышью и отключить раздражающую вас настройку. Видимо, какие-то недокументированные фичи, та самая защита от дурака, который инфраструктуру загадит до предела ради галочки, а потом грамотные люди будут тратить кучу времени на восстановление.
> Дотнет подтягивается с апдейтами, IIS — роль.
То есть понятие сервера приложений для вас новость?
Да, будьте любезны, расскажите — в какой версии винды «с апдейтами» приползает дотнет 4.0 взамен предустановленного раритета. Вот и посмеемся. Заодно расскажите, с какими апдейтами приползает MVC. Да, не забудьте прочесть EULA! Дотнет не redistributable.
>> И жава тоже, да.
> Как мило. Очень жаль, что «информационная безопасность» для вас…
Продемонстрирую ваш стиль, не обессудьте.
Вы неуч! Из вас такой же специалист по безопасности, как из балерины — трактор. Не можете апплеты от J2EE отличить, а все туда же. Недавно сданный тест череп жмет, вот и чушь тут порете. Начитались журнала «ксакеп», и давай пересказывать с выражением. Хотя бы к месту пересказывали! Ай-Кью видимо маловат, понять что не о том пересказываете. Расскажите межделмашу, какие они дураки!
Нравится? Именно в таком стиле вы тут общаетесь.
> Мне казалось, что «в гамаке на лыжах» = «в машзале с ноутбуком»
Иногда без ноутбука. Сервера разные бывают, у некоторых монитор с клавиатурой в комплекте, выбираешь нужный в стойке и вперед.
Да и машзал не означает рядов стоек за горизонт. Будет стоять пару шкафчиков таких чудных с 10ком дверок каждый, смешных таких. Унутре шкафчиков есть секретная дверца с монитором и клавиатурой, там на пульте выбираешь нужный. И сдувать нечему, нет потребляемых мегаватт. Ну и стораджей таких гудящих пара шкафов добавьте. А держать банку с резервированием да с филиалами по всей Европе — хватает.
Так что меньше фантазируйте ;-)
> KVM нужен, чтобы организовать RDP
И если я зашел на сервак по RDP — то запустить там иксплойтер не моги! А то шапочка из фольги… ;-)
А вот если у себя скачаю (вместо 10 мегов все 700, вебинсталл то не сработает, на ноуте явно не серверная ось) и ручками в клиенте скопирую (отличная мысль — 700 мегов сюда, потом по тому же интернету их обратно, блеск! вышел называется из дома) и залью — то все, секурити просто супер и ни один зверь из леса не прибежал, да? Ведь домовая сеть понадежнее корпоративной будет! ;-)
Да и клиенту счет потом выставить — «4 часа качал апдейт туда-сюда», отличная мысль. И обосновать на трех страницах — как не нарушил местную полися.
Эх вы, специалист по безопасности. Не забудьте передачу файлов на сервак запретить во всех видах, а то вдруг я не из надежного источника залью по ssh. Или раз не видно — то и проблем нет?
Напомню, секурити это не инструменты, это дисциплина. Не бумажка. Не инструкция. Не набор битиков. Дис-ци-пли-на! Равняйсь! Смиррна! Заливаем только проверенные файлы! Неважно где я их взял — из локального хранилища пиратских копий или скачал с сайта микрософт. Троянов нет, отвечаю своей треуголкой!
Безопасность достигается именно так, и не иначе. А использую я для этого хром или иксплойтер — дело десятое.
Ага, ага. Азов не знаете, а туда же.
> Но вообще говоря, вы часто сталкивались с ситуациями «апдейт ОС или софта требуется из-за особенностей железа»?
Встречается. Вот недавно редхат на убунту менял, именно по этой причине ;-) А то виртуалка стала хост ронять да так что в логах про панику ничего. Сменил один музейный экспонат на другой — проблемы исчезли. (Я знаю почему исчезли, а вы?))
> Да, MS странные. Оставить то, что никому не нужно, но выпилить то, что может внезапно пригодиться.
В SOHO телнет нужен ровно в одном случае, модем настроить по бумажке. И это очень древний модем, без веб-морды. Потому и. Они не странные, они умные. А вот kb почитать да патч скачать — гораздо чаще бывает.
А вот пока вы рассказываете нам сказки про мегаваттные машзалы и зубастых всевидящих безопасников, в Редмонде четко знают, что таких машзалов мало и с каждым днем все меньше. А вот серверов в гаражах все больше.
Но вам из интернета виднее, да.
То есть понятие сервера приложений для вас новость?
Да, будьте любезны, расскажите — в какой версии винды «с апдейтами» приползает дотнет 4.0 взамен предустановленного раритета. Вот и посмеемся. Заодно расскажите, с какими апдейтами приползает MVC. Да, не забудьте прочесть EULA! Дотнет не redistributable.
>> И жава тоже, да.
> Как мило. Очень жаль, что «информационная безопасность» для вас…
Продемонстрирую ваш стиль, не обессудьте.
Вы неуч! Из вас такой же специалист по безопасности, как из балерины — трактор. Не можете апплеты от J2EE отличить, а все туда же. Недавно сданный тест череп жмет, вот и чушь тут порете. Начитались журнала «ксакеп», и давай пересказывать с выражением. Хотя бы к месту пересказывали! Ай-Кью видимо маловат, понять что не о том пересказываете. Расскажите межделмашу, какие они дураки!
Нравится? Именно в таком стиле вы тут общаетесь.
> Мне казалось, что «в гамаке на лыжах» = «в машзале с ноутбуком»
Иногда без ноутбука. Сервера разные бывают, у некоторых монитор с клавиатурой в комплекте, выбираешь нужный в стойке и вперед.
Да и машзал не означает рядов стоек за горизонт. Будет стоять пару шкафчиков таких чудных с 10ком дверок каждый, смешных таких. Унутре шкафчиков есть секретная дверца с монитором и клавиатурой, там на пульте выбираешь нужный. И сдувать нечему, нет потребляемых мегаватт. Ну и стораджей таких гудящих пара шкафов добавьте. А держать банку с резервированием да с филиалами по всей Европе — хватает.
Так что меньше фантазируйте ;-)
> KVM нужен, чтобы организовать RDP
И если я зашел на сервак по RDP — то запустить там иксплойтер не моги! А то шапочка из фольги… ;-)
А вот если у себя скачаю (вместо 10 мегов все 700, вебинсталл то не сработает, на ноуте явно не серверная ось) и ручками в клиенте скопирую (отличная мысль — 700 мегов сюда, потом по тому же интернету их обратно, блеск! вышел называется из дома) и залью — то все, секурити просто супер и ни один зверь из леса не прибежал, да? Ведь домовая сеть понадежнее корпоративной будет! ;-)
Да и клиенту счет потом выставить — «4 часа качал апдейт туда-сюда», отличная мысль. И обосновать на трех страницах — как не нарушил местную полися.
Эх вы, специалист по безопасности. Не забудьте передачу файлов на сервак запретить во всех видах, а то вдруг я не из надежного источника залью по ssh. Или раз не видно — то и проблем нет?
Напомню, секурити это не инструменты, это дисциплина. Не бумажка. Не инструкция. Не набор битиков. Дис-ци-пли-на! Равняйсь! Смиррна! Заливаем только проверенные файлы! Неважно где я их взял — из локального хранилища пиратских копий или скачал с сайта микрософт. Троянов нет, отвечаю своей треуголкой!
Безопасность достигается именно так, и не иначе. А использую я для этого хром или иксплойтер — дело десятое.
Ага, ага. Азов не знаете, а туда же.
> Но вообще говоря, вы часто сталкивались с ситуациями «апдейт ОС или софта требуется из-за особенностей железа»?
Встречается. Вот недавно редхат на убунту менял, именно по этой причине ;-) А то виртуалка стала хост ронять да так что в логах про панику ничего. Сменил один музейный экспонат на другой — проблемы исчезли. (Я знаю почему исчезли, а вы?))
> Да, MS странные. Оставить то, что никому не нужно, но выпилить то, что может внезапно пригодиться.
В SOHO телнет нужен ровно в одном случае, модем настроить по бумажке. И это очень древний модем, без веб-морды. Потому и. Они не странные, они умные. А вот kb почитать да патч скачать — гораздо чаще бывает.
А вот пока вы рассказываете нам сказки про мегаваттные машзалы и зубастых всевидящих безопасников, в Редмонде четко знают, что таких машзалов мало и с каждым днем все меньше. А вот серверов в гаражах все больше.
Но вам из интернета виднее, да.
> Напомню, секурити это не инструменты, это дисциплина.
Юристов вы явно повесилили этим предложением ;)
Мне кажется, вы вообще перестали понимать, или никогда и не понимали, зачем все эти полиси нужны были в больших корпорациях. И почему их нельзя нарушать.
Юристов вы явно повесилили этим предложением ;)
Мне кажется, вы вообще перестали понимать, или никогда и не понимали, зачем все эти полиси нужны были в больших корпорациях. И почему их нельзя нарушать.
>> Напомню, секурити это не инструменты, это дисциплина.
> Юристов вы явно повесилили этим предложением ;)
Я уже почти отчаялся до оппонента достучаться, пытаюсь максимально упростить, может в такой гиперболизированной форме дойдет ;-)
А то тут некоторые путают бумажку с ветхим заветом, и мне рассказывают, что лоб недостаточно расшиб когда молился Всемогущей Инструкции…
Пытаюсь донести что к бумажке надо относиться как к Уставу — когда требует обстановка смело ее нарушать, творчески подходя к. А не использовать ее догматически, профейлив все что можно строго по бумажке.
А то еще подумаете, что я тут серьезно — особенно про хранилище пиратских копий ;-)
> Юристов вы явно повесилили этим предложением ;)
Я уже почти отчаялся до оппонента достучаться, пытаюсь максимально упростить, может в такой гиперболизированной форме дойдет ;-)
А то тут некоторые путают бумажку с ветхим заветом, и мне рассказывают, что лоб недостаточно расшиб когда молился Всемогущей Инструкции…
Пытаюсь донести что к бумажке надо относиться как к Уставу — когда требует обстановка смело ее нарушать, творчески подходя к. А не использовать ее догматически, профейлив все что можно строго по бумажке.
А то еще подумаете, что я тут серьезно — особенно про хранилище пиратских копий ;-)
в какой версии винды «с апдейтами» приползает дотнет 4.0 взамен предустановленного раритета.
Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2.
Даже этого не знаете, как и того, что он ставится не «взамен», а «рядом»…
Заодно расскажите, с какими апдейтами приползает MVC.
Ни с какими. Но офлайновый инсталлятор можно найти в самом неожиданном месте.
Нравится?
Вызывает улыбку :)
Да и машзал не означает рядов стоек за горизонт.
У шарашек — да. У более-менее крупных контор будет тот самый ряд стоек. Не обязательно за горизонт. Но с массивами, блейдовыми корзинами и так далее.
И если я зашел на сервак по RDP — то запустить там иксплойтер не моги!
Правильно — надо сломать сервер, получить галочку и убежать, пока ничего не упало. С последствиями пусть другие разбираются.
700 мегов сюда, потом по тому же интернету их обратно
А 700 мегов — это уже много? Мне казалось, на несколько минут развлечение.
Напомню, секурити это не инструменты, это дисциплина. Не бумажка. Не инструкция.
В том-то и проблема. Секьюрити — это в том числе те самые инструменты, бумажки и инструкции. Ваш подход — «контора теряет пару рублей в час, срочно все ломаю, а после меня хоть потоп». Если из-за вашей некомпетентности контора попадет на куда более серьезные деньги — это проблема, причем уже скорее всего не ваша. На этот случай есть определенные инструкции, как свести риски к минимуму.
отвечаю своей треуголкой!
Ваша треуголка ничего не стоит. Вы отвечаете не ей, а благополучием клиента.
В SOHO телнет нужен ровно в одном случае
Мы не говорим про SOHO.
Я уже почти отчаялся до оппонента достучаться
Конечно. Вы с уверенным видом вещаете абсолютную ахинею. Всем понятно, что это — ахинея, но не вам.
А не использовать ее догматически, профейлив все что можно строго по бумажке.
Бумажка всегда подразумевает, что можно создать запрос в ответственное за безопасность подразделение, и там решат, согласовывать его или нет. В случае серьезного инцидента это займет не более нескольких минут. В таких случаях вы говорите заказчику «руки связаны», заказчик быстро эскалирует проблему до самого верха, оттуда ее спускают вниз к ответственным, и вам предоставляют нужный доступ. Но это в основном годится для тех самых «многомиллионных» инцидентов, то есть для того, с чем вы никогда не сталкивались :) Зато выламывать стены и насиловать системы из-за инцидентов класса «в течение недели неплохо бы починить» — нормально. Ведь время поджимает, надо срочно получить галку и рвануть на следующее аналогичное мероприятие…
Server Error in '/' Application.
Runtime Error
Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.
Отличная ссылка, 5+ ;-)
> У шарашек — да.
Клиента не выписывать, он все знает лучше всех. А все кроме него несут ахинею. Браво.
>> И если я зашел на сервак по RDP — то запустить там иксплойтер не моги!
> Правильно — надо сломать сервер, получить галочку и убежать
Это ваш стиль работы?
Я уже рассказывал, когда что и зачем, желающие могут тред отмотать. Вот когда такие юниоры как вы (согласно инструкции) наломают дров и сломают мой софт (не чей-то еще) — появляюсь я, не раньше. И после меня — все работает. Видимо потому что я в отличие от вас видел не только на картинке стойки за горизонт, хехе. И апплеты от ентерпрайза могу отличить.
О ваших трудовых подвигах вы скромно умолчали, видимо похвастать нечем. Так что про «другие потом исправляют» это явно не про вас. Видимо после вас частенько исправляют, поэтому вы пытаетесь перенести на меня ваши фантазии.
Да, безопасник со стажем, расскажите уж — чем отличается скачанный файл непосредственно с сервака от такого же, но через посредника. Кроме лишнего геморроя?
Потому что разницы нет, да? Набор байтиков идентичен, а разница только в голове?
> Ваша треуголка ничего не стоит
Это ваша. Рассказывайте про себя. Уже купили себе бугатти на мастерски защищенное? Или пока хватило только на велосипед?
> Секьюрити — это в том числе те самые инструменты, бумажки и инструкции.
Это средства. Научитесь отличать цель от инструментов которыми вы пытаетесь ее достигнуть.
> Ваш подход — «контора теряет пару рублей в час
Я не работаю с теми кто рубли. Рассказывайте про себя.
Более чем 15 лет назад одно время работал — именно мухозасранские вахтеры и вынуждали возить с собой отмычки, кстати. В отличие от европейцев или там американцев. Знаете почему? Потому что клятым буржуинам важно чтобы работало, их зарплаты и бонусы — в прямой зависимости от прибылей компании и они это знают. Поэтому как правило — всемерная помощь в решении проблем.
А вот в России — да, поиграть в бумажки, показать свою значимость за счет собственно той лавки которая зарплату платит таким как вы — в порядке вещей. Зато можно отправить запросы и пособирать визы. Пару месяцев. Неважно, что в результате таких игр ваш ЦБ отзовет у вашей лавки лицензию и вы останетесь без работы, зато ваш айти отдел с вашим отделом безопасности оттопчутся по полной, покажут всем свою значимость.
И аргументы вы приводите ровно те же что и тогда — а они поломают а нам чинить! Плевать, что еще не было ни одного инцидента, что на моем сервере не должно быть ничего кроме моего же софта. И делать там вам нечего, сдается шкаф под ключ. В случае дизастера вот телефон, суппорт-прилет уже оплачен.
«А вдруг завтра война или другое мероприятие, а сапоги не чищены? Надо пароли сменить на ящике вендора, пусть как прилетит — заколебется! А я тут пока к программе SETI подключусь, чего простаивает». И непрошибаемая уверенность в постижении всех тайн мира.
> срочно все ломаю, а после меня хоть потоп
Отличные у вас способы работы, что еще сказать.
> Если из-за вашей некомпетентности контора попадет на куда более серьезные деньги
… то в контракте написано куда они побегут и почему. И куда я побегу и при чем тут агенты по недвижимости (это к вопросу о треуголке, которая явно ценнее вашей). А вот вы о таких вещах только слышали и кроме вашего велосипеда ответить ничем не можете. Поэтому я и читаю тут ваши фрустрации на тему древних побасенок. Ха-ха.
Но вы не останавливайтесь, продолжайте меня разоблачать. У меня еще много есть смешных историй прошлого века, в каждой из которых есть над чем посмеяться.
> Бумажка всегда подразумевает, что можно создать запрос в ответственное за безопасность подразделение, и там решат, согласовывать его или нет
Какая дикость и отсталость.
А вот надо поднять сломанный какими-то косорукими дятлами бизнес-критикал сервер. Причем согласно всех бумажек — этих дятлов в радиусе ста метров не должно было быть. Но они там материализовались. Давайте теперь согласуем — будем мы сервиспак ставить или нет ;-)
Понятно почему у вас пару рублей в час. С таким-то подходом.
А вот вендор или хотя бы аутсорсер с вашими отделами ничего не подписывал (кроме NDA и типового контракта). И им плевать на ваши запросы, если за сервер отвечают ОНИ, то они же и будут чинить. После ваших мастеров, которые по вашим полисям и близко не должны были подходить. «Чукча, покроми собак и ничего не трогай», вот именно.
А вот когда уже такие как я подымут обратно — тогда и подтянется отдел безопасности и проведет аудит защищенности сервера на основании их инструкций. Хе хе. Ну вдруг вендор забыл вернуть обратно настройки иксплойтера по умолчанию? ;-)
> В случае серьезного инцидента это займет не более нескольких минут. В таких случаях вы говорите заказчику «руки связаны», заказчик быстро эскалирует проблему до самого верха, оттуда ее спускают вниз к ответственным, и вам предоставляют нужный доступ.
Ваше представление о больших лавках списано с книжки «Незнайка на Луне», не иначе.
Занимает это недели и месяцы, чтобы вы знали. Уже после того как все проэскалировано по самое не балуйся. Потому что деньги и влияние. Нельзя вот просто так отойти в сторонку — завтра подвинут уже не спрашивая, а послезавтра ваши «мастера» начнут только картриджи менять без согласований. Но юниорам об этом не рассказывают, да.
Поэтому дальше цирк. А единственный кто знает пароль — в отпуске / в запое! Заходите через недельку, а пока мы вам подготовили обоснование на 20 страниц мелким шрифтом — почему нельзя никогда и ни за что вендору получить доступ к серверу вендора. И нет, не спрашивайте — что мы там в него залезли, у нас инструкция!
Это — реалии, я с таким сталкивался неоднократно.
> Мы не говорим про SOHO.
Вы — пересказываете с выражением «Незнайку на луне», я уже вам об этом говорил. Вам рассказывают почему именно такие умолчания на сервере микрософт, запишите в книжечку, вдруг пригодится. И сдать в сейф не забудьте — книжечка как и другие тетрадки секретная ;-)
Runtime Error
Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.
Отличная ссылка, 5+ ;-)
> У шарашек — да.
Клиента не выписывать, он все знает лучше всех. А все кроме него несут ахинею. Браво.
>> И если я зашел на сервак по RDP — то запустить там иксплойтер не моги!
> Правильно — надо сломать сервер, получить галочку и убежать
Это ваш стиль работы?
Я уже рассказывал, когда что и зачем, желающие могут тред отмотать. Вот когда такие юниоры как вы (согласно инструкции) наломают дров и сломают мой софт (не чей-то еще) — появляюсь я, не раньше. И после меня — все работает. Видимо потому что я в отличие от вас видел не только на картинке стойки за горизонт, хехе. И апплеты от ентерпрайза могу отличить.
О ваших трудовых подвигах вы скромно умолчали, видимо похвастать нечем. Так что про «другие потом исправляют» это явно не про вас. Видимо после вас частенько исправляют, поэтому вы пытаетесь перенести на меня ваши фантазии.
Да, безопасник со стажем, расскажите уж — чем отличается скачанный файл непосредственно с сервака от такого же, но через посредника. Кроме лишнего геморроя?
Потому что разницы нет, да? Набор байтиков идентичен, а разница только в голове?
> Ваша треуголка ничего не стоит
Это ваша. Рассказывайте про себя. Уже купили себе бугатти на мастерски защищенное? Или пока хватило только на велосипед?
> Секьюрити — это в том числе те самые инструменты, бумажки и инструкции.
Это средства. Научитесь отличать цель от инструментов которыми вы пытаетесь ее достигнуть.
> Ваш подход — «контора теряет пару рублей в час
Я не работаю с теми кто рубли. Рассказывайте про себя.
Более чем 15 лет назад одно время работал — именно мухозасранские вахтеры и вынуждали возить с собой отмычки, кстати. В отличие от европейцев или там американцев. Знаете почему? Потому что клятым буржуинам важно чтобы работало, их зарплаты и бонусы — в прямой зависимости от прибылей компании и они это знают. Поэтому как правило — всемерная помощь в решении проблем.
А вот в России — да, поиграть в бумажки, показать свою значимость за счет собственно той лавки которая зарплату платит таким как вы — в порядке вещей. Зато можно отправить запросы и пособирать визы. Пару месяцев. Неважно, что в результате таких игр ваш ЦБ отзовет у вашей лавки лицензию и вы останетесь без работы, зато ваш айти отдел с вашим отделом безопасности оттопчутся по полной, покажут всем свою значимость.
И аргументы вы приводите ровно те же что и тогда — а они поломают а нам чинить! Плевать, что еще не было ни одного инцидента, что на моем сервере не должно быть ничего кроме моего же софта. И делать там вам нечего, сдается шкаф под ключ. В случае дизастера вот телефон, суппорт-прилет уже оплачен.
«А вдруг завтра война или другое мероприятие, а сапоги не чищены? Надо пароли сменить на ящике вендора, пусть как прилетит — заколебется! А я тут пока к программе SETI подключусь, чего простаивает». И непрошибаемая уверенность в постижении всех тайн мира.
> срочно все ломаю, а после меня хоть потоп
Отличные у вас способы работы, что еще сказать.
> Если из-за вашей некомпетентности контора попадет на куда более серьезные деньги
… то в контракте написано куда они побегут и почему. И куда я побегу и при чем тут агенты по недвижимости (это к вопросу о треуголке, которая явно ценнее вашей). А вот вы о таких вещах только слышали и кроме вашего велосипеда ответить ничем не можете. Поэтому я и читаю тут ваши фрустрации на тему древних побасенок. Ха-ха.
Но вы не останавливайтесь, продолжайте меня разоблачать. У меня еще много есть смешных историй прошлого века, в каждой из которых есть над чем посмеяться.
> Бумажка всегда подразумевает, что можно создать запрос в ответственное за безопасность подразделение, и там решат, согласовывать его или нет
Какая дикость и отсталость.
А вот надо поднять сломанный какими-то косорукими дятлами бизнес-критикал сервер. Причем согласно всех бумажек — этих дятлов в радиусе ста метров не должно было быть. Но они там материализовались. Давайте теперь согласуем — будем мы сервиспак ставить или нет ;-)
Понятно почему у вас пару рублей в час. С таким-то подходом.
А вот вендор или хотя бы аутсорсер с вашими отделами ничего не подписывал (кроме NDA и типового контракта). И им плевать на ваши запросы, если за сервер отвечают ОНИ, то они же и будут чинить. После ваших мастеров, которые по вашим полисям и близко не должны были подходить. «Чукча, покроми собак и ничего не трогай», вот именно.
А вот когда уже такие как я подымут обратно — тогда и подтянется отдел безопасности и проведет аудит защищенности сервера на основании их инструкций. Хе хе. Ну вдруг вендор забыл вернуть обратно настройки иксплойтера по умолчанию? ;-)
> В случае серьезного инцидента это займет не более нескольких минут. В таких случаях вы говорите заказчику «руки связаны», заказчик быстро эскалирует проблему до самого верха, оттуда ее спускают вниз к ответственным, и вам предоставляют нужный доступ.
Ваше представление о больших лавках списано с книжки «Незнайка на Луне», не иначе.
Занимает это недели и месяцы, чтобы вы знали. Уже после того как все проэскалировано по самое не балуйся. Потому что деньги и влияние. Нельзя вот просто так отойти в сторонку — завтра подвинут уже не спрашивая, а послезавтра ваши «мастера» начнут только картриджи менять без согласований. Но юниорам об этом не рассказывают, да.
Поэтому дальше цирк. А единственный кто знает пароль — в отпуске / в запое! Заходите через недельку, а пока мы вам подготовили обоснование на 20 страниц мелким шрифтом — почему нельзя никогда и ни за что вендору получить доступ к серверу вендора. И нет, не спрашивайте — что мы там в него залезли, у нас инструкция!
Это — реалии, я с таким сталкивался неоднократно.
> Мы не говорим про SOHO.
Вы — пересказываете с выражением «Незнайку на луне», я уже вам об этом говорил. Вам рассказывают почему именно такие умолчания на сервере микрософт, запишите в книжечку, вдруг пригодится. И сдать в сейф не забудьте — книжечка как и другие тетрадки секретная ;-)
Как результат, тот же эксель вполне себе востребован на сервере разными ентерпрайзиками, потому и.
Тоже баловался этим.
Учтите, что это нерекомендованный способ, да и запрещенный соглашением офиса. Существует альтернативные методы генерации екселей на серваке.
Всякое бывает. На компьютере подруги нужно было заставить медленнее крутиться вентилятор на видео. В драйверах это сделать не смог, только в RivaTuner, UAC не хотел отключать принципиально. Нажимать разрешение при каждой перезагрузке — не вариант. Пока нашел инструкцию и сделал при помощи майкрософтовской утилиты ( Application Compatibility Toolkit ) разрешения и настройки прошло часа полтора.
> Самая частая проблема с правами в Program Files для старого софта решается элементарно — установкой специфических прав на нужную подпапку
Ничего этого не нужно. В винде Vista появилась технология UAC Virtualization. Все старые приложения должны работать как работали раньше на XP и старее без всяких телодвижений.
Ничего этого не нужно. В винде Vista появилась технология UAC Virtualization. Все старые приложения должны работать как работали раньше на XP и старее без всяких телодвижений.
Не забывайте о том кто является основным пользователем для MS Windows. Основной пользователь для этой системы != основной пользователь для UNIX-подобных систем. UAC должен работать, а о корректности работы программ пусть думают их разработчики, не зачем у них хлеб отбирать.
Мне, если честно, вообще немного смешно, когда в качестве доводя против UAC приводят UNIX-системы. Там как раз все сделано абсолютно аналогичным образом — софт, запущенный из графической сессии, запускается с правами пользователя (я не знаю людей, которые бы работали в графике под рутом), попытка запустить программу с правами рута приведет к запросу пароля для sudo в том или ином виде. Полный контороль можно иметь из рутовой командной строки, но и в винде можно пустить cmd.exe с правами администратора. Единственная никсовая фича, которой мне не хватает в UAC — возможность разрешить конкретной программе запускаться с повышенными правами без запроса пароля (через правку sudoers)
Единственная никсовая фича, которой мне не хватает в UAC — возможность разрешить конкретной программе запускаться с повышенными правами без запроса пароля
Я недавно решал эту проблему для гостевого логина. Одной игре ну очень нужен был UAC чтобы скачать свои апдейтики (даже не в Program Files)
Название решения — runasspc
Оно умеет создавать «лаунчер» под конкретный экзешник с правами админа, креденшалы которого хранятся зашифрованными.
Я недавно решал эту проблему для гостевого логина. Одной игре ну очень нужен был UAC чтобы скачать свои апдейтики (даже не в Program Files)
Название решения — runasspc
Оно умеет создавать «лаунчер» под конкретный экзешник с правами админа, креденшалы которого хранятся зашифрованными.
Это можно сделать и штатными средствами через планировщик заданий.
Мне очень понравилась утилита CPAU, она позволяет шифровать .bat скрипты. То есть вы делаете обычный run as скрипт, в нём открытым текстом пароль администратора, шифруете и запускаете новый скрипт смело под нужным пользователем. Пользователь, открыв скрипт не сможет найти пароль админа. (Качество шифрования — конечно вопрос, пароль доменного админа я бы туда не доверил).
В sudo не нужно каждый раз вводить пароль, если я делаю sudo apt-get update, то в течении 5 (?) минут смогу запустить sudo apt-get upgrade без ввода пароля. Если я в Win7 меня настройки сети, мне нужно каждый раз вводить пароль администратора
Зачем писать в program files когда есть programdata? Зачем хранить настройки рядом с бинарником когда есть профиль? Ну и так далее. При правильном проектировании ПО, проблем с UAC не возникнет.
Обычный пользователь при ежедневной работе может неделями не видеть окна повышения прав, если не месяцами, зато всякие зловреды не пролезут.
Обычный пользователь при ежедневной работе может неделями не видеть окна повышения прав, если не месяцами, зато всякие зловреды не пролезут.
Увы, еще как пролезут. Работа с winsock разрешена юзерам, весь профиль юзера как на ладони (папки, ветки реестра). Учитывая, что зачастую на пк только одна учетная запись, этого достаточно. Для остальных случаев можно повысить правилегии сплоитами.
Так что для зловредов это не препятствие, а вот для софта вполне себе.
Так что для зловредов это не препятствие, а вот для софта вполне себе.
При правильной настройке УАК никакие сплоиты не помогают. После появления УАК, я чистил компьютер родителей от вирусни ровно один раз. Во времена XP — каждую вторую неделю. УАК у родителей появился во время выхода семерки, вот и почитайте профит.
Что значит «правильная настройка»? «Всегда уведомлять»? Все таки для детальных настроек групповые политики + фаервол помогают лучше в этом случае. Хотя бы потому, что практически всегда есть сплоит (если думаете, что не помогают, посмотрите в сторону metasploit) для локального повышения привилегий. Разумеется, порог вхождения для малвари немножко увеличивается, но от инфицирования uac никак не спасает (ну кроме всяких Winlock-поделок, которые всячески срут в реестре и файлах). Более того, если не менять системных настроек (что кстати в современном мире малвари не особо то и нужно) uac будет работать вместе с вредоносным софтом и не обращать друг на друга внимания.
То есть по сути, просто слежение за обновлениями софта и системы куда эффективнее (а ведь большинство заразы лезет через браузеры и фишинг), чем всякие uac. Зато проблем с софтом прибавляется (у меня, например, 2012 студия через раз собирала проект на вин 8 как раз из-за странностей в поведении uac, хотя, казалось бы, оба продукта выпустила одна компания, и проблем не должно быть).
Не подумайте что у меня какая-то религиозная ненависть к этому компоненту, просто работает он как-то «не так» =)
То есть по сути, просто слежение за обновлениями софта и системы куда эффективнее (а ведь большинство заразы лезет через браузеры и фишинг), чем всякие uac. Зато проблем с софтом прибавляется (у меня, например, 2012 студия через раз собирала проект на вин 8 как раз из-за странностей в поведении uac, хотя, казалось бы, оба продукта выпустила одна компания, и проблем не должно быть).
Не подумайте что у меня какая-то религиозная ненависть к этому компоненту, просто работает он как-то «не так» =)
Покажите мне хоть один рабочий эксплоит, который ещё не закрыт апдейтами и который проскочит при выкрученном в максимум уаке.
Увы, показать не могу, т.к. не имею подобной информации. Тем не менее, уязвимости с локальным повышением привилегий появляются часто, не все успевают/хотят обновиться. Плюс, противодействие сплоитам все таки не задача uac, это больше к dep, но как показывает практика, тоже «не торт».
И да, почему по остальным пунктам моей «претензии» не обратили внимания?
И да, почему по остальным пунктам моей «претензии» не обратили внимания?
Максимум что ловил это WinLock, НО т.к. все изолировано, единственное место где он может находится это %TEMP%, потому перезагрузка + безопасный режим с командной строкой, заходим в temp и удаляем все exe оттуда. Перезагрузка… PROFIT =) Не одну машину уже так вылечил за 5 минут ). Нибудь UAC, идентифицировать левый файл от системного, если он засел в system32 (с UAC он туда не пролезет), очень проблематично.
Это не микрософт держит людей за идиотов.
Это классическая попытка переложить проблему на плечи пользователей. А что — пусть сами разбираются, почему «действительно ли вы запустили процесс мысыгысы» и что с этим делать.
Есть масса способов альтернативно решить вопрос с «програм файлами». Микрософт выбрала именно этот. Он проще для микрософт.
Это классическая попытка переложить проблему на плечи пользователей. А что — пусть сами разбираются, почему «действительно ли вы запустили процесс мысыгысы» и что с этим делать.
Есть масса способов альтернативно решить вопрос с «програм файлами». Микрософт выбрала именно этот. Он проще для микрософт.
Есть масса способов альтернативно решить вопрос с «програм файлами».
С радостью послушаю варианты.
Но только чтобы обратная совместимость не улетучилась.
Микрософт выбрала именно этот. Он проще для микрософт.
Демонстрируете некомпетентность.
UAC — это НЕМЫСЛИМОЕ количество костылей, предназначенное для того, чтобы одновременно и обеспечивать защиту, и не действовать пользователю на нервы. Например, многие программы могут и без повышения прав писать в program files. Ну по крайней мере это они так думают. Но на самом деле пишут они в песочницу, а не в настоящую папку…
Самым простым было бы пойти по *NIX way, без всяких изощрений, запретительно. «Не рут => пшел нах». Только это многое могло бы сломать из старого софта.
> Есть масса способов альтернативно решить вопрос с «програм файлами».
Ну вот из экзотичных.
Ввести синтета в ACL «running application», и разрешать писать автоматом только тем, у которых а) права такие на каталог / файл есть и б) они запущены в этом же каталоге. В своем каталоге хоть потоп, а остальные стандартно ридонли. И никаких сервисов для обновления хрома не понадобится.
> UAC — это НЕМЫСЛИМОЕ количество костылей, предназначенное для
Прошу прощения, задача у-а-це совсем другая. О чем рассказывалось самим микрософтом неоднократно. Задача стояла отделить приложения, одновременно с которыми будет проигрываться блю-рей, от тех, которые потенциально опасны. Заказал escalation? Все, включаются механизмы преднамеренного ухудшения аудио / видеопотока.
Проверяется элементарно — запускаете музыку на проигрывание и запускаете любой инсталляк. При выскакивании мега-окошка у-а-це playback is stopped.
Сюрприз.
Ну а уж коль такой механизм есть — то на него возложим и сопутствующих задач, только и всего.
Ну вот из экзотичных.
Ввести синтета в ACL «running application», и разрешать писать автоматом только тем, у которых а) права такие на каталог / файл есть и б) они запущены в этом же каталоге. В своем каталоге хоть потоп, а остальные стандартно ридонли. И никаких сервисов для обновления хрома не понадобится.
> UAC — это НЕМЫСЛИМОЕ количество костылей, предназначенное для
Прошу прощения, задача у-а-це совсем другая. О чем рассказывалось самим микрософтом неоднократно. Задача стояла отделить приложения, одновременно с которыми будет проигрываться блю-рей, от тех, которые потенциально опасны. Заказал escalation? Все, включаются механизмы преднамеренного ухудшения аудио / видеопотока.
Проверяется элементарно — запускаете музыку на проигрывание и запускаете любой инсталляк. При выскакивании мега-окошка у-а-це playback is stopped.
Сюрприз.
Ну а уж коль такой механизм есть — то на него возложим и сопутствующих задач, только и всего.
Ввести синтета в ACL «running application», и разрешать писать автоматом только тем, у которых а) права такие на каталог / файл есть и б) они запущены в этом же каталоге.
А common files? А многое другое?
Прошу прощения, задача у-а-це совсем другая. О чем рассказывалось самим микрософтом неоднократно
Ссылки, конечно, не будет?
И откуда берется подобная идиотская мифология? Можно еще вспомнить ключ в реестре «nobugs», который отключает глюки винды…
запускаете музыку на проигрывание и запускаете любой инсталляк.
Запустил. Музыка не прервалась. Видео тоже.
На самом деле есть схожая фича, которая в воспаленном разуме предыдущего комментатора смешалась с UAC. en.wikipedia.org/wiki/Protected_Media_Path
Существуют protected приложения, которые работают с высококачественным DRM-видео.
К ним не могут получить доступ обычные процессы — не могут открыть их память на чтение, отлаживать и т.д.
Существуют protected приложения, которые работают с высококачественным DRM-видео.
К ним не могут получить доступ обычные процессы — не могут открыть их память на чтение, отлаживать и т.д.
> А common files? А многое другое?
Можно еще проще. Редиректов повесить в папочку с программой, это ж штатный компонент еще с висты. Просто хорошо запрятанный. Как раз для совместимости и придуман. Только используется почему-то исключительно для разделения 32 бит от не-32 бит. Тот самый, который разделяет и тэдэ. В новых один фиг манифест есть, в старых манифеста нет — добро пожаловать в свой каталог. И нефиг пакостить в общих местах. Вопрос одного флажка в PEB.
Или совсем просто — привилегии посрезать по умолчанию. Хочешь доступ к токену? Включи. ;-) Примерно как в линуксе capabilities работают.
Подчеркиваю, это примеры альтернативщины — как сделать совместимость с изоляцией друг от друга без «уаце».
Но в Редмонде решили придумать админа который не админ.
> Ссылки, конечно, не будет?
Википедия сгодится? Даже тут об этом написано.
Ну вот это самое «tampered» банально и проверяется наличием отсутствия elevated privileges. Есть процесс который способен загрузить драйвер или там еще что нехорошее сделать? Привет, вот вам «лоу квалити». Во избежание. А то может нашел себе dma buffers в physicalmemory и откачивает заДРМленный контент втихаря? ;-)
Странно что вы об этом не в курсе, вещь то общеизвестная.
Можно еще проще. Редиректов повесить в папочку с программой, это ж штатный компонент еще с висты. Просто хорошо запрятанный. Как раз для совместимости и придуман. Только используется почему-то исключительно для разделения 32 бит от не-32 бит. Тот самый, который разделяет и тэдэ. В новых один фиг манифест есть, в старых манифеста нет — добро пожаловать в свой каталог. И нефиг пакостить в общих местах. Вопрос одного флажка в PEB.
Или совсем просто — привилегии посрезать по умолчанию. Хочешь доступ к токену? Включи. ;-) Примерно как в линуксе capabilities работают.
Подчеркиваю, это примеры альтернативщины — как сделать совместимость с изоляцией друг от друга без «уаце».
Но в Редмонде решили придумать админа который не админ.
> Ссылки, конечно, не будет?
Википедия сгодится? Даже тут об этом написано.
Ну вот это самое «tampered» банально и проверяется наличием отсутствия elevated privileges. Есть процесс который способен загрузить драйвер или там еще что нехорошее сделать? Привет, вот вам «лоу квалити». Во избежание. А то может нашел себе dma buffers в physicalmemory и откачивает заДРМленный контент втихаря? ;-)
Странно что вы об этом не в курсе, вещь то общеизвестная.
Редиректов повесить в папочку с программой
Какие еще редиректы? Хардлинки? А откуда ОС знает, на какие запросы программы можно вешать хардлинки, а на какие — нет?
Подчеркиваю, это примеры альтернативщины — как сделать совместимость
Наоборот — «как полностью сломать совместимость».
Википедия сгодится?
ctrl+f, «UAC», не нашел.
Еще дубль?
Есть процесс который способен загрузить драйвер или там еще что нехорошее сделать? Привет, вот вам «лоу квалити»
А какое мне или вам дело до HDCPшных вещей? Какое это имеет отношение к обсуждаемому вопросу? Да я и BDшный диск ни разу в жизни не трогал, хотя вот видео качеством «30гб на фильм» у меня есть.
Но может, вернемся к обсуждению UAC? Вы очень ловко с него спрыгнули, и я не понял, зачем.
УАК как раз токены и раздает. Что за бред вы вообще пишите?
Да это тупо sudo.
Запустите в этом «тупо» контрол панель с неурезанными правами, хех. Масса впечатлений ;-)
Запустите аналог без sudo в никсах — масса впечатлений ;)
sudo yast отлично работает.
А контрол панель — нет, это ж кастомный вид от уже запущенного explorer.exe. В этом и соль.
А контрол панель — нет, это ж кастомный вид от уже запущенного explorer.exe. В этом и соль.
Ну, не совсем. Если у вас администрторская учетка в винде, то запускать панель управления от рута вам не нужно. Если ограниченная — то это аналог того, что вас нет в
В последнем случае решения что в винде, что под Linux примено одинаковые, как мне видится — запустить теримнал от имени суперпользователя и звапустить в нем нужную программу (Панель управления —
sudoersВ последнем случае решения что в винде, что под Linux примено одинаковые, как мне видится — запустить теримнал от имени суперпользователя и звапустить в нем нужную программу (Панель управления —
control, если что)runas
Главной фичей win 8 для меня стало то, что теперь при запуске чего-угодно, что требует повышенных прав вместо того, чтобы как win 7 послать тебя нафиг win 8 всегда предлагает ввести пароль администратора.
Я как-то пробовал делать так: убивал процесс explorer.exe, и запускал его от администратора через runas, получается крышесносящая вещь
У меня к Вам один вопрос: вы работаете под учётной записью с правами администратора?
Чую в мире юниксов вы бы просто застрелились…
К слову, было бы мило, если UAC сделали андроид-вэй. Чтобы можно было спросить конкретный набор прав, а не просто «админа». Эти же права могут быть показаны в расширенном меню, чтобы опытный пользователь видел зачем софту админские права вообще.
Тогда все приложения нужно загонять в песочницу. И как тогда быть с native кодом? В Metro так и есть, можно ограничить.
В WP7 так же сделано: меня перед установкой софта предупреждают, какие конкретно права необходимы приложению для работы. И ладно что у меня нет выбора (либо согласен, либо отказывайся от установки). Так ведь там всегда перечислено абсолютно всё! И GPS, и сеть, и доступ к контактам, к фото, к личным данным.
Ваша неправда. А WMAppManifiest.xml стоит дефолтный набор разрешений — то, что недобросовестные разработчики не удаляют ID_CAP — не проблема WP, а разработчиков.
Не помню про вп8, но в вп7 эти капабилити выставлялись автоматом при публикации в маркетплейс, так что лишнее ничего не пройдет. У нас в Viber даже курьез вышел — мы указали ID_CAP_MICROPHONE но явно в коде нигде его не использовали (только в native части) и анализатор капабилитей смело его вырезал в результате чего в маркете оказалась версия, в которой микрофон тупо не работал. Пришлось фейково добавлять в код Microphone.
В Вин8 store app пошли чуть дальше и разрешили отключать некоторые права для приложений.
Чтобы можно было спросить конкретный набор прав, а не просто «админа»
Вопрос не к винде, а к приложениям. Средствами одной только винды реализовать такое невозможно без отказа от миллионов единиц старого софта, которому реально нужны админские права.
Но и на андроид-вей жалуются. Программа для отправки СМС, заявившая о желании отправлять СМС (закономерно), запросто может отправлять СМС на платные номера, и ни черта с этим не поделаешь.
В общем, не надо ставить недоверенное ПО вне любого рода песочницы. Ни на одной платформе.
По поводу двух режимов работы: в данном примере метод
IsAdmin вернет true, если пользователь действительно является администратором, на это не говорит о том, что процесс запущен в привилегированном режиме. Чтобы это выяснить, необходимо анализировать токен _TOKEN_INFORMATION_CLASS.TokenElevation текущего процесса. Официальный пример, где используется описанная техника: MSDN: UAC self-elevation (CSUACSelfElevation).
Для данной перегрузки метода и конкретно перечисления WindowsBuiltInRole значение WindowsBuiltInRole.Administrator соответствует именно elevated-процессу, т.е. такому, который уже имеет права администратора, о чем написано в ремарке на MSDN. В примере, описанном Вами, делается то же самое, только на более низком уровне.
А есть ли более автоматический (или по крайней мере «системный», что ли) способ передать контекст приложения? Через командную строку это как-то уж совсем не хорошо.
Вашей статье не хватает информативности. Вы рассмотрели только один, далеко не самый удобный для пользователя способ повышения привлегий. MSDN предлагает гораздо больше информации (особенно, если ее раскрыть)
Моя маленька статья не претендует на звание энциклопедической и уж тем более в информативности с MSDN тягаться не будет :)
Я постарался описать свой путь поисков решения проблемы и результат, к которому в итоге пришел. Я действительно упустил немало деталей, но постарался оставить то, что нужно по-существу для того, чтобы использовать этот прием. Возможно, мое решение не универсальное и существуют другие, лучшие варианты, я этого не исключаю, но подход, показанный в примере предлагает поведение программы, ненавязчивое для пользователя, гибкое в отношении того, включен UAC или нет, и главное честное перед юзером — никаких уловок или левых служб, хочешь делать что-то «небезопасное» — давай права один раз, а дальше твори что пожелаешь. Плюс ко всему этому — простота реализации.
Я постарался описать свой путь поисков решения проблемы и результат, к которому в итоге пришел. Я действительно упустил немало деталей, но постарался оставить то, что нужно по-существу для того, чтобы использовать этот прием. Возможно, мое решение не универсальное и существуют другие, лучшие варианты, я этого не исключаю, но подход, показанный в примере предлагает поведение программы, ненавязчивое для пользователя, гибкое в отношении того, включен UAC или нет, и главное честное перед юзером — никаких уловок или левых служб, хочешь делать что-то «небезопасное» — давай права один раз, а дальше твори что пожелаешь. Плюс ко всему этому — простота реализации.
Если кому настраиваю винду, включаю обязательно UAC. И гражданам говорю — окошко увидели? Увидели. Если вы сидите в интернете и оно вылазит — нажимайте кнопку НЕТ. Особенно если название непонятное.
И вирусов у таких граждан обычно не бывает.
И вирусов у таких граждан обычно не бывает.
Вот здесь описано как для WPF получить «нормальную» иконку )
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
UAC, давай дружить!